Manuel Statik Analiz (LLM Okumali) — FormBook Infostealer | Tehdit: MITTEL

Datei Kimligi

SHA2562b775e69fb52f4b7ce851072dde921977146de7dfe569a5609313387cac8a048
Orijinal Addstq.exe
Größe287.744 byte

Analiz Sonucu

Bu FormBook ornegi tam obfuskayon ile korunmaktadir. Strings analizi yalnizca 1218 satir sonuc uretmis, hicbir cleartext C2 URL, IP adresi veya kimlik bilgisi gorünmemistir. FormBook, C2 URL'sini genellikle XOR/AES ile sifreli sekilde binary icerisinde saklar ve runtime'da cozoer.

Bilinen FormBook Yetenekleri

  • Form grabbing (web form submission yakalama)
  • Keylogger
  • Screenshot
  • Datei cekme
  • HTTP/HTTPS C2 iletisimi (panel yolu genellikle rastgele 4 karakter: /xxxx/)
  • Tarayici kimlik bilgileri

IOC

SHA2562b775e69fb52f4b7ce851072dde921977146de7dfe569a5609313387cac8a048
C2Sifrelenmis (dinamik analiz gerekli)

FormBook — Malware-Profil

FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.

Malware-Typ
Infostealer
Programmiersprache
C
C2-Protokoll
HTTP
Zielsysteme
Windows
Auch bekannt als (AKA)
xLoader

Technische Details

C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)

Attribution / Bedrohungsakteur

ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.

Fähigkeiten & Verhalten

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC-Liste (1 Indikatoren)

IOC — FormBook
# SHA256 2b775e69fb52f4b7ce851072dde921977146de7dfe569a5609313387cac8a048
TypWertBemerkung
sha256 2b775e69fb52f4b7ce851072dde921977146de7dfe569a5609313387cac8a048

C2-Server (5 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
45.61.136.16 ip 80 HTTP active US
hxxp://freeupgrades.net/s1xt/ domain 80 HTTP inactive US
103.75.160.239 ip 443 HTTPS inactive HK
3.29.19.86 ip — TCP inactive —
form-book.club domain 80 HTTP sinkholed —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
formbookxloaderinfostealerobfuscationstatik-analiz