Manuel Statik Analiz (LLM Okumali) — FormBook Infostealer | Tehdit: ORTA

Dosya Kimligi

SHA2562b775e69fb52f4b7ce851072dde921977146de7dfe569a5609313387cac8a048
Orijinal Addstq.exe
Boyut287.744 byte

Analiz Sonucu

Bu FormBook ornegi tam obfuskayon ile korunmaktadir. Strings analizi yalnizca 1218 satir sonuc uretmis, hicbir cleartext C2 URL, IP adresi veya kimlik bilgisi gorünmemistir. FormBook, C2 URL'sini genellikle XOR/AES ile sifreli sekilde binary icerisinde saklar ve runtime'da cozoer.

Bilinen FormBook Yetenekleri

  • Form grabbing (web form submission yakalama)
  • Keylogger
  • Screenshot
  • Dosya cekme
  • HTTP/HTTPS C2 iletisimi (panel yolu genellikle rastgele 4 karakter: /xxxx/)
  • Tarayici kimlik bilgileri

IOC

SHA2562b775e69fb52f4b7ce851072dde921977146de7dfe569a5609313387cac8a048
C2Sifrelenmis (dinamik analiz gerekli)

FormBook — Malware Profili

FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.

Malware Tipi
Infostealer
Programlama Dili
C
C2 Protokolü
HTTP
Hedef Sistemler
Windows
Diğer Adlar (AKA)
xLoader

Teknik Detaylar

C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)

Atıf / Tehdit Aktörü

ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.

Yetenekler ve Davranış

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC Listesi (1 gösterge)

IOC — FormBook
# SHA256 2b775e69fb52f4b7ce851072dde921977146de7dfe569a5609313387cac8a048
TürDeğerNot
sha256 2b775e69fb52f4b7ce851072dde921977146de7dfe569a5609313387cac8a048

C2 Sunucuları (Bu aile için 5 kayıtlı sunucu)

Adres Tür Port Protokol Durum Ülke
45.61.136.16 ip 80 HTTP active US
hxxp://freeupgrades.net/s1xt/ domain 80 HTTP inactive US
103.75.160.239 ip 443 HTTPS inactive HK
3.29.19.86 ip — TCP inactive —
form-book.club domain 80 HTTP sinkholed —

C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.

Etiketler
formbookxloaderinfostealerobfuscationstatik-analiz