Как и другие Infostealers, Formbook распространяется в основном через спам по электронной почте. Имена распространяемых файлов близки друг к другу.
- QUOTATION.exe
- Inquiry No. MKP-ASL-RT-990821-02_pdf.exe
- PORT OUTSTANDINGS.exe
- New Order – Sample Request.iso
- Wire Instruction P85793.exe
Поскольку Formbook внедряется в нормальные процессы (один из них - запущенный explorer.exe, а другой - в system32), вредоносное поведение выполняется этими нормальными процессами. Помимо учетных данных пользователя в веб-браузере, вредоносная программа может похищать различную информацию посредством кейлоггинга, захвата буфера обмена и захвата форм веб-браузера.
Indicators of Compromise
URLs
- http://www.dwkapl.xyz/m82/
- http://www.geekshop.life/horg/
- http://www.lightouch.life/ua0e/
- http://www.locvu.xyz/o17i/
- http://www.mexbop.xyz/sz94/
- http://www.shapshit.xyz/u2kb/
- http://www.tumarketing.info/nuj3/
- http://www.viewmall.life/co9t/
- http://www.vouchshow.xyz/s86o/
- http://www.yesziv.online/mi28/