Как и другие Infostealers, он распространяется в основном через спам по электронной почте. Имена распространяемых файлов близки друг к другу.
Поскольку Formbook внедряется в нормальные процессы (один из них - запущенный explorer.exe, а другой - в system32), вредоносные действия выполняются этими нормальными процессами. Помимо учетных данных пользователя в веб-браузере, вредоносная программа может похищать различную информацию посредством кейлоггинга, захвата буфера обмена и захвата форм веб-браузера.
Indicators of Compromise
URLs
- http://www.anrovlp.xyz/n13e/
- http://www.ascents.info/wepi/
- http://www.bakerous.xyz/iknp/
- http://www.brequx.online/cx01/
- http://www.clasmiv.xyz/gn56/
- http://www.cusmose.com/icih/
- http://www.dwkapl.xyz/m82/
- http://www.hezop.xyz/hs95/
- http://www.merxip.online/ce18/
- http://www.opuspring.xyz/nh2c/
- http://www.payshop.life/taih/
- http://www.profitz.live/tt0w/
- http://www.stufshop.life/umuc/
- http://www.tomart.live/onpq/
- http://www.traindic.top/hpb7/
- http://www.tugrow.top/hjdr/
- http://www.uyruio.xyz/km37/
- http://www.vouchshow.xyz/s86o/
- http://www.xysklhgf.xyz/ae30/
- http://www.ziplapse.xyz/htnd/