Manuel Statik Analiz (LLM Okumali) — FormBook Infostealer | Tehdit: YUKSEK

Datei Kimligi

SHA2562b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1
Datei Adidstq.exe
Größe287.744 byte
String Sayisi1.218 (sifrelenmis)

Analiz Bulgulari

FormBook, tum kritik stringlerini (C2 URL, API endpoint, mutex) XOR ile sifrelenmis PE seksiyon icinde saklar. Statik string analizinde hicbir cleartext IOC bulunamamistir.

FormBook Teknik Architektursi

  • Process Injection: Mesgru process'lere (Explorer.exe, svchost.exe) DLL injection
  • Form Grabbing: Tarayici formlarina hook ile sifresiz veri yakalama
  • Keylogger: SetWindowsHookEx ile keyboard hook
  • Screenshot: Belirli araliklarda ekran yakalama
  • C2 Pattern: Hardcoded list of multiple domains, rotates randomly

FormBook Yetenekleri

KategoriHedefler
Form VeriWeb formlarina girilen TUM veri (HTTP/HTTPS)
TarayicilarChrome, Firefox, IE, Edge, Opera, Brave, 80+ tarayici
EmailOutlook, Thunderbird, The Bat!, Foxmail
FTPFileZilla, WinSCP, SmartFTP, Total Commander FTP
KeyloggerTum tus basimalari ve aktif pencere bilgisi
ScreenshotPeriyodik ekran yakalama

FormBook Hakkinda

FormBook, 2016 yilinda "ng-Coder" takma adini kullanan bir gelistirici tarafindan underground forumlarda MaaS olarak satisa sunulmustur. 2019'da "XLoader" olarak rebrand edilmis ve macOS destegi eklenmistir. Process injection ve form grabbing teknikleri ile en yakin rekabetci stealerlardan biridir. Turkiye'de de kurban segmenti vardir.

IOC

SHA2562b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1
C2XOR sifreli (runtime decrypt)
InjectionProcess Hollowing (Explorer/svchost)

FormBook — Malware-Profil

FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.

Malware-Typ
Infostealer
Programmiersprache
C
C2-Protokoll
HTTP
Zielsysteme
Windows
Auch bekannt als (AKA)
xLoader

Technische Details

C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)

Attribution / Bedrohungsakteur

ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.

Fähigkeiten & Verhalten

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC-Liste (1 Indikatoren)

IOC — FormBook
# SHA256 2b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1
TypWertBemerkung
sha256 2b775e69fb52f4b7a8c9d37c1e1a3a8b0623b8cb1e7d60e1cc3e5ef6d2f89ab1

C2-Server (5 erfasste Server für diese Familie)

Adresse Typ Port Protokoll Status Land
45.61.136.16 ip 80 HTTP active US
hxxp://freeupgrades.net/s1xt/ domain 80 HTTP inactive US
103.75.160.239 ip 443 HTTPS inactive HK
3.29.19.86 ip — TCP inactive —
form-book.club domain 80 HTTP sinkholed —

C2-Adressen stammen ausschließlich aus vom KEYDAL-Team manuell verifizierten Malware-Samples. Kommerzielle Nutzung ist untersagt.

Tags
formbookinfostealersifreliform-stealertarayiciprocess-injectionmaas