FormBook | Tehdit Seviyesi: high | Tür: Infostealer
Kriptografik Tanımlayıcılar
| SHA256 | e08d5bcefbe1a2672589b457ddf11c7f2bfcb9d2151b75cea5213b820e56dc95 |
|---|---|
| MD5 | c7aef9e25f1c502e98895bfd1c160f39 |
| Dosya Türü | exe |
| Boyut | 1279.8 KB |
| İlk Görülme | 2026-05-21 |
| Dosya Adı | RFQ_3001-_Enquiry_for_FRP_and_GRP_Tanks_pdf.exe |
| Etiketler | exe, FormBook |
Malware Ailesi: FormBook
FormBook, MaaS stealer'dır.
| Tür | Infostealer |
|---|---|
| Programlama Dili | C |
| Hedef Platform | Windows |
| C2 Protokolü | HTTP |
| Amaç | Form verisi hırsızlığı |
| İlk Görülen Yıl | 2016 |
| Diğer İsimler | xLoader |
Tehdit Göstergeleri (IOC)
- SHA256:
e08d5bcefbe1a2672589b457ddf11c7f2bfcb9d2151b75cea5213b820e56dc95 - MD5:
c7aef9e25f1c502e98895bfd1c160f39
Bu örneğin tüm hash değerlerini VirusTotal üzerinde doğrulayabilirsiniz.
Sistem Temizleme Rehberi
- Sistemi ağdan hemen ayırın
- Yeni bir cihazdan banka hesabı, sosyal medya ve e-posta şifrelerini değiştirin
- Kripto cüzdanları yeni bir adrese taşıyın, eski cüzdanları terk edin
- Güncel antivirüs ile tam tarama başlatın
- Tarayıcı kayıtlı şifrelerini temizleyin ve 2FA aktif edin
- Etkilenen tüm hizmetlerde oturum oturumlarını kapatın
YARA Kuralı İpuçları
rule FormBook_SHA256 {
meta:
description = "FormBook sample: e08d5bcefbe1a267"
threat_level = "high"
first_seen = "2026-05-21"
condition:
hash.sha256(0, filesize) == "e08d5bcefbe1a2672589b457ddf11c7f2bfcb9d2151b75cea5213b820e56dc95"
}
FormBook — Malware Profili
FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.
Malware Tipi
Infostealer
Programlama Dili
C
C2 Protokolü
HTTP
Hedef Sistemler
Windows
Diğer Adlar (AKA)
xLoader
Teknik Detaylar
C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)
Atıf / Tehdit Aktörü
ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.
Yetenekler ve Davranış
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC Listesi (2 gösterge)
IOC — FormBook
# SHA256
e08d5bcefbe1a2672589b457ddf11c7f2bfcb9d2151b75cea5213b820e56dc95
# MD5
c7aef9e25f1c502e98895bfd1c160f39
| Tür | Değer | Not |
|---|---|---|
| sha256 | e08d5bcefbe1a2672589b457ddf11c7f2bfcb9d2151b75cea5213b820e56dc95 | Sample:FormBook |
| md5 | c7aef9e25f1c502e98895bfd1c160f39 | Sample:FormBook |
C2 Sunucuları (Bu aile için 5 kayıtlı sunucu)
| Adres | Tür | Port | Protokol | Durum | Ülke |
|---|---|---|---|---|---|
| 45.61.136.16 | ip | 80 | HTTP | active | US |
| hxxp://freeupgrades.net/s1xt/ | domain | 80 | HTTP | inactive | US |
| 103.75.160.239 | ip | 443 | HTTPS | inactive | HK |
| 3.29.19.86 | ip | — | TCP | inactive | — |
| form-book.club | domain | 80 | HTTP | sinkholed | — |
C2 adresleri yalnızca KEYDAL ekibinin manuel olarak doğruladığı malware örnekleri üzerinden sunulmaktadır. Ticari amaçla kullanılamaz.