Как и другие Infostealers, он распространяется в основном через спам по электронной почте. Имена распространяемых файлов близки друг к другу.
Поскольку Formbook внедряется в обычные процессы (один из них - запущенный explorer.exe, а другой - в system32), вредоносные действия выполняются этими обычными процессами. Помимо учетных данных пользователя в веб-браузере, вредоносная программа может похищать различную информацию посредством кейлоггинга, захвата буфера обмена и захвата форм веб-браузера.
Indicators of Compromise
URLs
- http://www.auskunfton.com/u8ow/
- http://www.bnhkit.xyz/d0a7/
- http://www.btexmo.xyz/ga23/
- http://www.domight.live/gune/
- http://www.domight.live/hyed/
- http://www.energybig.xyz/ghii/
- http://www.frykuv.xyz/sk29/
- http://www.genmanty.site/g44n/
- http://www.gvdxop.xyz/n10i/
- http://www.hexopb.xyz/sz17/
- http://www.koyesses.site/xprq/
- http://www.markmarket.live/m3ix/
- http://www.pertio.xyz/gs12/
- http://www.tumaqe.xyz/fh11/
- http://www.webventy.site/m5oe/