Información del archivo
| Propiedad | Valor |
|---|---|
| SHA256 | f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 |
| MD5 | 2cbbc2dfcb4c2eee97bf191d2f640171 |
| SHA1 | a2147858182f429e20d9a4ab4497f011d0835e5d |
| Nombre de archivo | BOQ.bat (PE içeriği) |
| Tamaño | 1,091,584 bytes |
| Arquitectura | x86 |
| Fecha de compilación | Desconocido |
| Packer | UPX |
| MB primera detección | 2026-06-29 |
| Etiquetas MB | exe, Formbook |
Perfil de amenaza
Familia: FormBook Clasificación: ALTO Confianza: MEDIUM
FormBook, web tarayıcılarından form verisi çalan, keylogger ve screenshot yetenekleri bulunan infostealer/form-grabber ailesidir. Bu örnek UPX ile paketlenmiş olup MalwareBazaar tarafından Formbook olarak sınıflandırılmıştır. C2 adresi statik analizde tespit edilemedi — konfigürasyon şifreli. İlk görülme tarihi 2026-06-29 olup aktif dağıtım kampanyasının parçasıdır.
Capacidades detectadas
- Form Grabbing (web tarayıcı form verisi çalma)
- Keylogger (SetWindowsHookEx)
- Screenshot (BitBlt/GDI)
- Clipboard Monitor
- HTTP C2 İletişimi
- Anti-Debug Kontrolleri
Anti-Analiz Teknikleri
- IsDebuggerPresent kontrolü
- VM/Sandbox tespiti
- UPX packing ile obfuscation
Kalıcılık Mekanizmaları
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Enjeksiyon Teknikleri
- Process Injection (CreateRemoteThread)
C2 Sunucuları
IOC Listesi
| Tip | Valor |
|---|---|
| sha256 | f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 |
| md5 | 2cbbc2dfcb4c2eee97bf191d2f640171 |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
FormBook — Perfil del malware
FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.
Detalles técnicos
C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)
Atribución / Actor de amenaza
ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.
Capacidades y comportamiento
Lista IOC (2 indicadores)
# SHA256
f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
# MD5
2cbbc2dfcb4c2eee97bf191d2f640171
| Tipo | Valor | Nota |
|---|---|---|
| sha256 | f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 | |
| md5 | 2cbbc2dfcb4c2eee97bf191d2f640171 |
Servidores C2 (5 servidores registrados para esta familia)
| Dirección | Tipo | Puerto | Protocolo | Estado | País |
|---|---|---|---|---|---|
| 45.61.136.16 | ip | 80 | HTTP | active | US |
| hxxp://freeupgrades.net/s1xt/ | domain | 80 | HTTP | inactive | US |
| 103.75.160.239 | ip | 443 | HTTPS | inactive | HK |
| 3.29.19.86 | ip | — | TCP | inactive | — |
| form-book.club | domain | 80 | HTTP | sinkholed | — |
Las direcciones C2 se proporcionan únicamente a partir de muestras de malware verificadas manualmente por el equipo KEYDAL. Se prohíbe el uso comercial.