Как и другие Infostealers, он распространяется в основном через спам по электронной почте. Имена распространяемых файлов близки друг к другу. Поскольку Formbook внедряется в нормальные процессы (один из них - запущенный explorer.exe, а другой - в system32), вредоносные действия выполняются этими нормальными процессами. Помимо учетных данных пользователя в веб-браузере, вредоносная программа может похищать различную информацию посредством кейлоггинга, захвата буфера обмена и захвата форм веб-браузера.
Indicators of Compromise
URLs
- http://www.artexchange.top/v08v/
- http://www.bywek.online/wm23/
- http://www.cataput.info/jaux/
- http://www.crpons.xyz/ca82/
- http://www.delisious.xyz/gkme/
- http://www.delisious.xyz/uifn/
- http://www.doyuip.xyz/my28/
- http://www.dwkapl.xyz/m82/
- http://www.jumshow.life/e8fg/
- http://www.jumshow.life/mu8t/
- http://www.martmill.xyz/eopl/
- http://www.martspot.xyz/gtpe/
- http://www.mexob.online/ga36/
- http://www.opuspring.xyz/nh2c/
- http://www.towfire.life/0uvr/
- http://www.unbal.online/ws6g/
- http://www.uyruio.xyz/km37/
- http://www.viezo.xyz/s17b/
- http://www.xysklhgf.xyz/ae30/