Как и другие Infostealer, Formbook распространяется в основном через спам по электронной почте.
Поскольку Formbook внедряется в нормальные процессы (один из них - запущенный explorer.exe, а другой - в system32), вредоносные действия выполняются этими нормальными процессами. Помимо учетных данных пользователя в веб-браузере, вредоносная программа может похищать различную информацию посредством кейлоггинга, захвата буфера обмена и захвата форм веб-браузера.
Indicators of Compromise
URls
- http://www.cahxary.site/urg8/
- http://www.fatsecing.xyz/ippd/
- http://www.firmart.info/vcuc/
- http://www.genmanty.site/g44n/
- http://www.hexopb.xyz/sz17/
- http://www.hurloic.xyz/gg62/
- http://www.koyesses.site/xprq/
- http://www.lobefood.site/rder/
- http://www.martcash.website/fuo8/
- http://www.potifitz.site/gapq/
- http://www.pushgit.site/rd0h/
- http://www.seculw.xyz/de12/
- http://www.wordybag.online/nes8/
- http://www.ytorly.xyz/d03s/