FormBook - это программа для кражи данных, распространяемая как MaaS. FormBook отличается от множества конкурирующих вредоносных программ чрезвычайной простотой использования, что позволяет использовать вирус FormBook даже неопытным "пользователям".
Formbook Stealer
FormBook stealer - это троян для похищения информации, доступный как вредоносное ПО как услуга. Эта вредоносная программа часто используется злоумышленниками с низкой технической грамотностью и небольшими знаниями в области программирования. FormBook может использоваться для кражи различной информации с зараженных машин.
Несмотря на простоту настройки и использования, вредоносная программа обладает расширенными функциями кражи и обхода, включая способность извлекать сохраненный и записанный пользовательский ввод. Кроме того, FormBook stealer способен искать, просматривать и взаимодействовать с файлами, а также делать скриншоты. Несмотря на то, что воровские возможности этого вируса можно считать несколько средними, простота управления, схема инъекций и набор эффективных мер, которые принимает вредоносная программа, чтобы избежать обнаружения антивирусным ПО, сделали FormBook популярным вирусом в хакерском сообществе, и, к сожалению, в 2019 году его популярность только продолжает расти.
Написанный на языках C и x86 ассемблер, FormBook продается как панель управления PHP и может быть куплен на легкодоступных онлайн-форумах всего за 30 долларов.
Уникально то, что в отличие от большинства существующих вирусов, использующих последние уязвимости или "нулевого дня", FormBook может внедряться в процессы и устанавливать функциональные крючки, используя уже известные проблемы. Поэтому создатели утверждают, что вирус будет работать безупречно независимо от версии Windows.
Наряду с функцией кражи и техникой уклонения, вирус умеет выполнять инструкции с сервера управления, которые включают запуск новых процессов, их внедрение и перезагрузку ПК жертвы. Более того, вирус способен записывать в память модуль Windows ntdll.dll и вызывать его напрямую, что делает мониторинг API и перехват в пользовательском режиме практически невозможным.
Indicators of Compromise
Ipv4
- 89.31.143.1
- 150.109.250.75
- 162.0.223.36
- 217.70.184.50
- 82.98.168.235
- 54.241.24.12
- 85.159.66.93
- 188.114.96.10
- 209.17.116.163
- 3.64.163.50
- 198.57.151.235
- 188.114.96.20
- 64.98.145.30
- 198.54.117.211
- 96.16.143.41
- 104.90.179.99
Domains
- www.yolischildcare.net
- www.pejoki.com
- www.tenderstembroccoli.com
- www.valheim.xyz
- www.judithzeichner.online
- www.hyo7jzsunsh6ad8rjwsa.com
- www.huyueyq.com
- www.dac-nj.com
- www.velovitasnapit.com
- www.hgrworld.xyz
- www.peter-elst.com
- www.8i4ncc079k.com
- www.gatorlendingnearme.com
- www.fastimporter.com
- www.heikyoum.xyz
- www.terracepile.online
- www.designbybyte.com
- www.hecsearc.com
- www.burgerpawty.com
- www.constructionboots.online
- www.website33239.website
- www.currentsea.rentals
- www.tandemcoruna.com
- www.shangarajive.net
- jf-apm.pt
MD5
- 93cc44d7890c7fd746144a5c96cd2860
SHA1
- 561978e394aab524fa34aad5a0d0c993c1d5dbc9
SHA256
- e2578171e1b9bcf0282b5246a8c6cb79829387a340ca70fecdc7c48c2f6ae24c