FormBook — Análisis estadístico profundo (f9dcaff0)

Resumen de la amenaza
FamiliaFormBook
Nivel de amenazaALTO
Platform.NET / C++ (UPX packed)
PackerUPX
SHA256f9dcaff0a6dd0a000a3fbf630cb0e15b...
Primera detección2026-06-29
Método de detecciónMalwareBazaar + Coincidencia de firma
ConfianzaMEDIUM

Información del archivo

PropiedadValor
SHA256f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
MD52cbbc2dfcb4c2eee97bf191d2f640171
SHA1a2147858182f429e20d9a4ab4497f011d0835e5d
Nombre de archivoBOQ.bat (PE içeriği)
Tamaño1,091,584 bytes
Arquitecturax86
Fecha de compilaciónDesconocido
PackerUPX
MB primera detección2026-06-29
Etiquetas MBexe, Formbook

Perfil de amenaza

Familia: FormBook   Clasificación: ALTO   Confianza: MEDIUM

FormBook, web tarayıcılarından form verisi çalan, keylogger ve screenshot yetenekleri bulunan infostealer/form-grabber ailesidir. Bu örnek UPX ile paketlenmiş olup MalwareBazaar tarafından Formbook olarak sınıflandırılmıştır. C2 adresi statik analizde tespit edilemedi — konfigürasyon şifreli. İlk görülme tarihi 2026-06-29 olup aktif dağıtım kampanyasının parçasıdır.

Capacidades detectadas

  • Form Grabbing (web tarayıcı form verisi çalma)
  • Keylogger (SetWindowsHookEx)
  • Screenshot (BitBlt/GDI)
  • Clipboard Monitor
  • HTTP C2 İletişimi
  • Anti-Debug Kontrolleri

Anti-Analiz Teknikleri

  • IsDebuggerPresent kontrolü
  • VM/Sandbox tespiti
  • UPX packing ile obfuscation

Kalıcılık Mekanizmaları

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

Enjeksiyon Teknikleri

  • Process Injection (CreateRemoteThread)

C2 Sunucuları

C2 adresi statik analizde tespit edilemedi. Konfigürasyon büyük ihtimalle şifreli veya obfuscated. Dinamik analiz (sandbox çalıştırma) ile C2 iletişimi izlenebilir.

IOC Listesi

TipValor
sha256f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
md52cbbc2dfcb4c2eee97bf191d2f640171

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

FormBook — Perfil del malware

FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.

Tipo de malware
Infostealer
Lenguaje de programación
C
Protocolo C2
HTTP
Sistemas objetivo
Windows
También conocido como (AKA)
xLoader

Detalles técnicos

C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)

Atribución / Actor de amenaza

ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.

Capacidades y comportamiento

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Lista IOC (2 indicadores)

IOC — FormBook
# SHA256 f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 # MD5 2cbbc2dfcb4c2eee97bf191d2f640171
TipoValorNota
sha256 f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
md5 2cbbc2dfcb4c2eee97bf191d2f640171

Servidores C2 (5 servidores registrados para esta familia)

Dirección Tipo Puerto Protocolo Estado País
45.61.136.16 ip 80 HTTP active US
hxxp://freeupgrades.net/s1xt/ domain 80 HTTP inactive US
103.75.160.239 ip 443 HTTPS inactive HK
3.29.19.86 ip — TCP inactive —
form-book.club domain 80 HTTP sinkholed —

Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.

Etiquetas
formbookinfostealerform-grabberpeanalizstatikioc