Formbook - Как и другие Infostealers, он распространяется в основном через спам по электронной почте.
Поскольку Formbook внедряется в нормальные процессы (один из них - запущенный explorer.exe, а другой - в system32), вредоносные действия выполняются этими нормальными процессами. Помимо учетных данных пользователя в веб-браузере, вредоносная программа может похищать различную информацию посредством кейлоггинга, захвата буфера обмена и захвата форм веб-браузера.
Formbook Stealer IOCs
- Formbook Stealer IOCs
- FormBook Stealer IOCs - Part 5
- [GS-007] Formbook Stealer IOCs
- [GS-009] Formbook Stealer IOCs
- [GS-027] Formbook Stealer IOCs
- Formbook Stealer IOCs - Part 4
- Formbook Stealer IOCs - Part 7
Indicators of Compromise
URls
- http://www.dupaxi.xyz/a09e/
- http://www.gvdxop.xyz/n10i/
- http://www.haremp.xyz/tc10/
- http://www.koyesses.makeup/ed9t/
- http://www.loudesios.com/fswe/
- http://www.paupocket.online/umcs/
- http://www.urvap.online/vy03/
- http://www.wordybag.online/nes8/
File names
- DHL_BL_COMMERCIAL_INVOICE_PL_DELIVERYADDRESS_PDF.exe
- DRAFT HAWB and DRAFT MAWB.exe
- FNCuc.exe
- Inquiry – TP5x12 .png.exe
- PO20190606.exe
- prCUmNBm8PNam69.exe
- PRE ALERT NOTICE.exe
- VDir.exe