Manuel Statik Analiz — FormBook (JavaScript Dropper) | Tehdit: YUKSEK
Файл Kimliği
| SHA256 | 615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Имя файла | Purchase_Order_Form.js (satın alma formu) |
| Размер | 1.972.766 byte (1.97MB JS) |
| String Sayisi | 1.888 |
Obfuskasyon Kalıntısı
"} // aggregate viewport metrics"
"var v6994 = {}; // propagate transition state at "
-- Kayıtlı JavaScript kütüphanesi yorumları obfuskasyon içinde!
-- Gerçek kod: minimize + obfuscate edilmiş
-- "v6994" = rastgele değişken adı (obfuscator çıktısı)
-- "propagate transition state" = JavaScript framework kaynaklı
-- Gerçek payload gömülü base64 veya eval() çağrısında
FormBook Hakkında
FormBook, 2017'de $59'dan başlayan fiyatla MaaS olarak satılan form hijacking stealer'dır. Windows HTTP API hooking ile HTTP formu veri hırsızlığı yapar. Tarayıcı credential, clipboard ve screenshot alır. 2020'de kaynak kodu sızdı. Asya ve Orta Doğu işletmelerini sıkça hedefler.
IOC
| SHA256 | 615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | Purchase_Order_Form.js (satın alma formu JS) |
FormBook2 — Профиль вредоносного ПО
FormBook MaaS 2017 $59. HTTP form hijack. Browser credential+clipboard+screenshot. 2020 kaynak sızıntısı.
Тип вредоносного ПО
Infostealer
Язык программирования
C
C2 Протокол
HTTP
Целевые системы
Kuresel
Возможности и поведение
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
Список IOC (1 индикаторов)
IOC — Formbook2
# SHA256
615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | 615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |