FormBook — Deep Static Analysis (f9dcaff0)

Threat Summary
FamilyFormBook
Threat LevelHIGH
Platform.NET / C++ (UPX packed)
PackerUPX
SHA256f9dcaff0a6dd0a000a3fbf630cb0e15b...
First Seen2026-06-29
Detection MethodMalwareBazaar + Signature Match
ConfidenceMEDIUM

File Information

PropertyValue
SHA256f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
MD52cbbc2dfcb4c2eee97bf191d2f640171
SHA1a2147858182f429e20d9a4ab4497f011d0835e5d
File NameBOQ.bat (PE içeriği)
Size1,091,584 bytes
Architecturex86
Compile DateUnknown
PackerUPX
MB First Seen2026-06-29
MB Tagsexe, Formbook

Threat Profile

Family: FormBook   Classification: HIGH   Confidence: MEDIUM

FormBook, web tarayıcılarından form verisi çalan, keylogger ve screenshot yetenekleri bulunan infostealer/form-grabber ailesidir. Bu örnek UPX ile paketlenmiş olup MalwareBazaar tarafından Formbook olarak sınıflandırılmıştır. C2 adresi statik analizde tespit edilemedi — konfigürasyon şifreli. İlk görülme tarihi 2026-06-29 olup aktif dağıtım kampanyasının parçasıdır.

Detected Capabilities

  • Form Grabbing (web tarayıcı form verisi çalma)
  • Keylogger (SetWindowsHookEx)
  • Screenshot (BitBlt/GDI)
  • Clipboard Monitor
  • HTTP C2 İletişimi
  • Anti-Debug Kontrolleri

Anti-Analiz Teknikleri

  • IsDebuggerPresent kontrolü
  • VM/Sandbox tespiti
  • UPX packing ile obfuscation

Kalıcılık Mekanizmaları

  • HKCU\Software\Microsoft\Windows\CurrentVersion\Run\

Enjeksiyon Teknikleri

  • Process Injection (CreateRemoteThread)

C2 Sunucuları

C2 adresi statik analizde tespit edilemedi. Konfigürasyon büyük ihtimalle şifreli veya obfuscated. Dinamik analiz (sandbox çalıştırma) ile C2 iletişimi izlenebilir.

IOC Listesi

TipValue
sha256f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
md52cbbc2dfcb4c2eee97bf191d2f640171

Öneriler

  • Hash değerlerini EDR/SIEM sistemlerinize ekleyin
  • Tespit edilen domain ve IP'leri firewall/proxy kara listesine alın
  • Registry autorun anahtarlarını periyodik kontrol edin
  • MalwareBazaar ve VirusTotal üzerinden hash kontrolü yapın
  • Şüpheli process injection aktivitelerini izleyin

FormBook — Malware Profile

FormBook web form verisi ve credential hırsızı. SmartAssembly paketleyici. İspanyolca LATAM elektrik faturası lür.

Malware Type
Infostealer
Programming Language
C
C2 Protocol
HTTP
Target Systems
Windows
Also Known As (AKA)
xLoader

Technical Details

C dili, Windows API hooking (form grabbing), HTTP POST C2, browser form stealer, keylogger, screenshot, clipboard monitor, process injection (process hollowing)

Attribution / Threat Actor

ABD'de gelistirilmis; satis darknet forumlari uzerinden yapilmis. Dunya genelindeki multuple suc gruplarina hizmet veren MaaS platformu.

Capabilities & Behavior

Tarayıcı Kimlik Bilgileri
Çerez Hırsızlığı
Kripto Cüzdan Çalma
Sistem Bilgisi
Ekran Görüntüsü
FTP/SSH İstemci Şifreleri
E-posta İstemcisi Çalma
Veri Sızıntısı

IOC List (2 indicators)

IOC — FormBook
# SHA256 f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4 # MD5 2cbbc2dfcb4c2eee97bf191d2f640171
TypeValueNote
sha256 f9dcaff0a6dd0a000a3fbf630cb0e15bb359d8926ac4405402c42493132177e4
md5 2cbbc2dfcb4c2eee97bf191d2f640171

C2 Servers (5 recorded servers for this family)

Address Type Port Protocol Status Country
45.61.136.16 ip 80 HTTP active US
hxxp://freeupgrades.net/s1xt/ domain 80 HTTP inactive US
103.75.160.239 ip 443 HTTPS inactive HK
3.29.19.86 ip — TCP inactive —
form-book.club domain 80 HTTP sinkholed —

C2 addresses are provided only from malware samples manually verified by the KEYDAL team. Commercial use is prohibited.

Tags
formbookinfostealerform-grabberpeanalizstatikioc