Manuel Statik Analiz — FormBook | Tehdit: ORTA

Dosya Kimliği

SHA2560b3236531c608af31005056b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
Dosya AdıFactura electric correspondiente al pedido GA1 (İspanyolca elektrik faturası!)
Boyut1.005.056 byte (981KB)
String Sayisi4.905

İspanyolca Elektrik Faturası Lürü

SOSYAL MÜHENDİSLİK: Elektrik faturası e-postası!
Factura electric correspondiente al pedido GA1
-- "Factura electric" = elektrik faturası (İspanyolca)
-- "correspondiente al" = ilgili (bağlantılı)
-- "pedido GA1" = GA1 sipariş kodu
-- İspanya/LATAM elektrik şirketi faturası gibi görünüyor
-- Hedef: İspanyolca konuşan bireyler ve küçük işletmeler
-- FormBook = web form verisi çalan ve credential hırsızlayan stealer

SmartAssembly Paketleyici + C2 Substring

AssemblyConfigurationAttribute  -- SmartAssembly packer imzası
System.Configuration             -- .NET konfigürasyon namespace
8&C2\                            -- C2 substring (paketleyici içinden)
-- FormBook tipik olarak SmartAssembly ile paketlenmiş .NET dropper içine gömülür
-- Asıl FormBook binary native C kodu, wrapper .NET'tir

IOC

SHA2560b3236531c608af31005056b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
LureFactura electric GA1 (İspanyolca elektrik faturası)

FormBook — Malware Profile

FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.

Malware Type
Infostealer
Programming Language
C
C2 Protocol
HTTP
Target Systems
Windows
Also Known As (AKA)
xLoader

Technical Details

C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)

Attribution / Threat Actor

ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (1 indicators)

IOC — FormBook
# SHA256 0b3236531c608af31005056b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f
TypeValueNote
sha256 0b3236531c608af31005056b3c5a4f7d0e2b6c9f1a3d6e8b1c4f7a0d3e6b9c2f

C2 Servers (5 recorded servers for this family)

Address Type Port Protocol Status Country
45.61.136.16 ip 80 HTTP active US
hxxp://freeupgrades.net/s1xt/ domain 80 HTTP inactive US
103.75.160.239 ip 443 HTTPS inactive HK
3.29.19.86 ip — TCP inactive —
form-book.club domain 80 HTTP sinkholed —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
formbookfactura-electric-spanish-lureelectricity-bill-becpedido-ga1smartassembly-packer8-c2-substringspanish-targeting