FormBook | Tehdit Seviyesi: high | Tür: Infostealer
Kriptografik Tanımlayıcılar
| SHA256 | 6f52da3fdfb1e1500b18955235c8ffae291872f10071236671419ebd7db7baa0 |
|---|---|
| MD5 | 510dba9a84e72004f4ca4c34efe0875e |
| Dosya Türü | ps1 |
| Boyut | 1499.3 KB |
| İlk Görülme | 2026-04-25 |
| Dosya Adı | ps_33iPwjToFyPP_1776423583841.ps1 |
| Etiketler | FormBook, ps1 |
Malware Ailesi: FormBook
FormBook, MaaS stealer'dır.
| Tür | Infostealer |
|---|---|
| Programlama Dili | C |
| Hedef Platform | Windows |
| C2 Protokolü | HTTP |
| Amaç | Form verisi hırsızlığı |
| İlk Görülen Yıl | 2016 |
| Diğer İsimler | xLoader |
Tehdit Göstergeleri (IOC)
- SHA256:
6f52da3fdfb1e1500b18955235c8ffae291872f10071236671419ebd7db7baa0 - MD5:
510dba9a84e72004f4ca4c34efe0875e
Bu örneğin tüm hash değerlerini VirusTotal üzerinde doğrulayabilirsiniz.
Sistem Temizleme Rehberi
- Sistemi ağdan hemen ayırın
- Yeni bir cihazdan banka hesabı, sosyal medya ve e-posta şifrelerini değiştirin
- Kripto cüzdanları yeni bir adrese taşıyın, eski cüzdanları terk edin
- Güncel antivirüs ile tam tarama başlatın
- Tarayıcı kayıtlı şifrelerini temizleyin ve 2FA aktif edin
- Etkilenen tüm hizmetlerde oturum oturumlarını kapatın
YARA Kuralı İpuçları
rule FormBook_SHA256 {
meta:
description = "FormBook sample: 6f52da3fdfb1e150"
threat_level = "high"
first_seen = "2026-04-25"
condition:
hash.sha256(0, filesize) == "6f52da3fdfb1e1500b18955235c8ffae291872f10071236671419ebd7db7baa0"
}
FormBook — Malware Profili
FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.
Malware Tipi
Infostealer
Programlama Dili
C
C2 Protokolü
HTTP
Hedef Sistemler
Windows
Diğer Adlar (AKA)
xLoader
Teknik Detaylar
C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)
Atıf / Tehdit Aktörü
ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.
Yetenekler ve Davranış
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC Listesi (2 gösterge)
IOC — FormBook
# SHA256
6f52da3fdfb1e1500b18955235c8ffae291872f10071236671419ebd7db7baa0
# MD5
510dba9a84e72004f4ca4c34efe0875e
| Tür | Değer | Not |
|---|---|---|
| sha256 | 6f52da3fdfb1e1500b18955235c8ffae291872f10071236671419ebd7db7baa0 | Sample:FormBook |
| md5 | 510dba9a84e72004f4ca4c34efe0875e | Sample:FormBook |
C2 Sunucuları (Bu aile için 5 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| 45.61.136.16 | ip | 80 | HTTP | active | US |
| hxxp://freeupgrades.net/s1xt/ | domain | 80 | HTTP | inactive | US |
| 103.75.160.239 | ip | 443 | HTTPS | inactive | HK |
| 3.29.19.86 | ip | — | TCP | inactive | — |
| form-book.club | domain | 80 | HTTP | sinkholed | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.