Поскольку Formbook внедряется в обычные процессы (один из них - запущенный explorer.exe, а другой - в system32), вредоносные действия выполняются этими обычными процессами. Помимо учетных данных пользователя в веб-браузере, вредоносная программа может похищать различную информацию с помощью кейлоггинга, захвата буфера обмена и захвата форм веб-браузера.
Indicators of Compromise
URLs
- http://www.qr-api.net/3ri5/
- http://www.qiopz.online/ie59/
- http://www.purtfur.info/se6j/
- http://www.methicone.top/wqdm/
- http://www.stufshop.life/umuc/
- http://www.bakecamp.info/5t58/
- http://www.lightouch.life/ua0e/
- http://www.tanforks.xyz/t6t4/
- http://www.whymart.info/3ri5/
- http://www.brequx.online/cx01/
- http://www.hagfiw.xyz/re29/
- http://www.brezop.xyz/oa09/