Информация о файле
| Свойство | Значение |
|---|---|
| SHA256 | f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 |
| MD5 | 2cbbc2dfcb4c2eee97bf191d2f640171 |
| SHA1 | a2147858182f429e20d9a4ab4497f011d0835e5d |
| Имя файла | BOQ.bat (PE içeriği) |
| Размер | 1,091,584 bytes |
| Архитектура | x86 |
| Дата компиляции | Неизвестно |
| Packer | UPX |
| MB первое обнаружение | 2026-06-29 |
| Метки MB | exe, Formbook |
Профиль угрозы
Семейство: FormBook Классификация: ВЫСОКИЙ Достоверность: MEDIUM
FormBook, web tarayıcılarından form verisi çalan, keylogger ve screenshot yetenekleri bulunan infostealer/form-grabber ailesidir. Bu örnek UPX ile paketlenmiş olup MalwareBazaar tarafından Formbook olarak sınıflandırılmıştır. C2 adresi statik analizde tespit edilemedi — konfigürasyon şifreli. İlk görülme tarihi 2026-06-29 olup aktif dağıtım kampanyasının parçasıdır.
Обнаруженные возможности
- Form Grabbing (web tarayıcı form verisi çalma)
- Keylogger (SetWindowsHookEx)
- Screenshot (BitBlt/GDI)
- Clipboard Monitor
- HTTP C2 İletişimi
- Anti-Debug Kontrolleri
Anti-Analiz Teknikleri
- IsDebuggerPresent kontrolü
- VM/Sandbox tespiti
- UPX packing ile obfuscation
Kalıcılık Mekanizmaları
HKCU\Software\Microsoft\Windows\CurrentVersion\Run\
Enjeksiyon Teknikleri
- Process Injection (CreateRemoteThread)
C2 Sunucuları
IOC Listesi
| Tip | Значение |
|---|---|
| sha256 | f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 |
| md5 | 2cbbc2dfcb4c2eee97bf191d2f640171 |
Öneriler
- Hash değerlerini EDR/SIEM sistemlerinize ekleyin
- Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
- Registry autorun anahtarlarını periyodik kontrol edin
- MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
- Şüpheli process injection aktivitelerini izleyin
FormBook — Профиль вредоносного ПО
FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.
Технические детали
C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)
Атрибуция / Актор угрозы
ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.
Возможности и поведение
Список IOC (2 индикаторов)
# SHA256
f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
# MD5
2cbbc2dfcb4c2eee97bf191d2f640171
| Тип | Значение | Примечание |
|---|---|---|
| sha256 | f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 | |
| md5 | 2cbbc2dfcb4c2eee97bf191d2f640171 |
C2 Серверы (5 зарегистрированных серверов для этого семейства)
| Адрес | Тип | Порт | Протокол | Статус | Страна |
|---|---|---|---|---|---|
| 45.61.136.16 | ip | 80 | HTTP | active | US |
| hxxp://freeupgrades.net/s1xt/ | domain | 80 | HTTP | inactive | US |
| 103.75.160.239 | ip | 443 | HTTPS | inactive | HK |
| 3.29.19.86 | ip | — | TCP | inactive | — |
| form-book.club | domain | 80 | HTTP | sinkholed | — |
Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.