Как и другие Infostealers, он распространяется в основном через спам по электронной почте.
Имена распространяемых файлов близки друг к другу.
- BL-SHIPPING DOCUMENTS.exe
- CONTRACT DOCUMENT.exe
- HBL+MBL SHIPPING DOCS.exe
- O# GOSUSNH1637860.exe
- Payment transfer slip.exe
- PFI20-21008_.exe
- Remittance advice.exe
Поскольку Formbook внедряется в нормальные процессы (один из них - запущенный explorer.exe, а другой - в system32), вредоносные действия выполняются этими нормальными процессами. Помимо учетных данных пользователя в веб-браузере, вредоносная программа может похищать различную информацию посредством кейлоггинга, захвата буфера обмена и захвата форм веб-браузера.
Formbook Stealer IOCs
- Formbook Stealer IOCs
- FormBook Stealer IOCs - Part 5
- [GS-007] Formbook Stealer IOCs
- [GS-009] Formbook Stealer IOCs
- [GS-027] Formbook Stealer IOCs
- Formbook Stealer IOCs - Part 4
Indicators of Compromise
URLs
- http://www.baskmarketing.online/bd6z/
- http://www.ciexol.xyz/ci07/
- http://www.hairmall.info/chd4/
- http://www.outreacmore.site/neoe/
- http://www.wertoz.xyz/jn85/