Manuel Statik Analiz — FormBook | Tehdit: ORTA
Dosya Kimliği
| SHA256 | 615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Dosya Adı | Purchase_Order_Form.js (satın alma sipariş formu) |
| Boyut | 1.972.766 byte (1.97MB JS) |
| String Sayisi | 1.888 (1.97MB için minimal! = max obfuskasyon) |
Maksimum Obfuskasyon Metriği
İlginç Oran: 1.97MB dosyada sadece 1,888 string = okunabilir metinden kaçınma!
Oran: 1888 string / 1,972,766 byte = 0.00096 string/byte Normal JS: ~0.05-0.10 string/byte Bu JS: 50-100x daha az okunabilir string = ağır karakter kodlama Büyük kısmı ya hex/unicode escape ya da rastgele string encoding
Meşru Görünen Sahte Yorumlar
} // aggregate viewport metrics
var v6994 = {}; // propagate transition state at ...
-- "aggregate viewport metrics" = meşru web geliştirme yorumu gibi!
-- "propagate transition state" = React/Vue transition ifadesi gibi!
-- AV'lerin ve analistlerin "bu meşru web kodu" sanmasını sağlar
-- Rastgele değişken isim: v6994 (sayısal suffix pattern)
IOC
| SHA256 | 615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 |
|---|---|
| Lure | Purchase_Order_Form.js (satın alma sipariş JS) |
Formbook3 — Malware Profile
FormBook .NET 2016 MaaS. Purchase_Order_Form.js. aggregate viewport sahte yorum. 1888 string 1.9MB max obfuskasyon.
Malware Type
Infostealer
Programming Language
C/.NET
C2 Protocol
HTTP/C2 Panel
Target Systems
Küresel Kurumsal
Capabilities & Behavior
Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı
IOC List (1 indicators)
IOC — Formbook3
# SHA256
615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2
| Type | Value | Note |
|---|---|---|
| sha256 | 615302d2052274be1972766b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2 | len=63 |