Глубокий статический анализ (F9dcaff0)

Сводка по угрозе
СемействоFormBook
Уровень угрозыВЫСОКИЙ
Platform.NET / C++ (UPX packed)
PackerUPX
SHA256f9dcaff0a6dd0a000a3fbf630cb0e15b...
Первое обнаружение2026-06-29
Метод обнаруженияMalwareBazaar + Совпадение сигнатуры
ДостоверностьMEDIUM

Информация о файле

СвойствоЗначение
SHA256f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
MD52cbbc2dfcb4c2eee97bf191d2f640171
SHA1a2147858182f429e20d9a4ab4497f011d0835e5d
Имя файлаBOQ.bat (PE içeriği)
Размер1,091,584 bytes
Архитектураx86
Дата компиляцииНеизвестно
PackerUPX
MB первое обнаружение2026-06-29
Метки MBexe, Formbook

Профиль угрозы

Семейство: FormBook   Классификация: ВЫСОКИЙ   Достоверность: MEDIUM

FormBook, web tarayıcılarından form verisi çalan, keylogger ve screenshot yetenekleri bulunan infostealer/form-grabber ailesidir. Bu örnek UPX ile paketlenmiş olup MalwareBazaar tarafından Formbook olarak sınıflandırılmıştır. C2 adresi statik analizde tespit edilemedi — konfigürasyon şifreli. İlk görülme tarihi 2026-06-29 olup aktif dağıtım kampanyasının parçasıdır.

Обнаруженные возможности

  • Form Grabbing (web tarayıcı form verisi çalma)
  • Keylogger (SetWindowsHookEx)
  • Screenshot (BitBlt/GDI)
  • Clipboard Monitor
  • HTTP C2 İletişimi
  • Anti-Debug Kontrolleri

Anti-Analiz Teknikleri

  • IsDebuggerPresent kontrolü
  • VM/Sandbox tespiti
  • UPX packing ile obfuscation

Kalıcılık Mekanizmaları

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

Enjeksiyon Teknikleri

  • Process Injection (CreateRemoteThread)

C2 Sunucuları

C2 adresi statik analizde tespit edilemedi. Konfigürasyon büyük ihtimalle şifreli veya obfuscated. Dinamik analiz (sandbox çalıştırma) ile C2 iletişimi izlenebilir.

IOC Listesi

TipЗначение
sha256f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
md52cbbc2dfcb4c2eee97bf191d2f640171

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

FormBook — Профиль вредоносного ПО

FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.

Тип вредоносного ПО
Infostealer
Язык программирования
C
C2 Протокол
HTTP
Целевые системы
Windows
Другие названия (AKA)
xLoader

Технические детали

C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)

Атрибуция / Актор угрозы

ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.

Возможности и поведение

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

Список IOC (2 индикаторов)

IOC — FormBook
# SHA256 f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 # MD5 2cbbc2dfcb4c2eee97bf191d2f640171
ТипЗначениеПримечание
sha256 f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
md5 2cbbc2dfcb4c2eee97bf191d2f640171

C2 Серверы (5 зарегистрированных серверов для этого семейства)

Адрес Тип Порт Протокол Статус Страна
45.61.136.16 ip 80 HTTP active US
hxxp://freeupgrades.net/s1xt/ domain 80 HTTP inactive US
103.75.160.239 ip 443 HTTPS inactive HK
3.29.19.86 ip — TCP inactive —
form-book.club domain 80 HTTP sinkholed —

Адреса C2 предоставляются только на основе образцов вредоносного ПО, вручную проверенных командой KEYDAL. Коммерческое использование запрещено.

Теги
formbookinfostealerform-grabberpeanalizstatikioc