[GS-007] Formbook Stealer IOCs

Spyware IOC

FormBook - это программа для кражи данных, распространяемая как MaaS. FormBook отличается от множества конкурирующих вредоносных программ чрезвычайной простотой использования, что позволяет использовать вирус FormBook даже неопытным "пользователям".

Formbook Stealer

FormBook stealer - это троян для похищения информации, доступный как вредоносное ПО как услуга. Эта вредоносная программа часто используется злоумышленниками с низкой технической грамотностью и небольшими знаниями в области программирования. FormBook может использоваться для кражи различной информации с зараженных машин.

Несмотря на простоту настройки и использования, вредоносная программа обладает расширенными функциями кражи и обхода, включая способность извлекать сохраненный и записанный пользовательский ввод. Кроме того, FormBook stealer способен искать, просматривать и взаимодействовать с файлами, а также делать скриншоты. Несмотря на то, что воровские возможности этого вируса можно считать несколько средними, простота управления, схема инъекций и набор эффективных мер, которые принимает вредоносная программа, чтобы избежать обнаружения антивирусным ПО, сделали FormBook популярным вирусом в хакерском сообществе, и, к сожалению, в 2019 году его популярность только продолжает расти.

Написанный на языках C и x86 ассемблер, FormBook продается как панель управления PHP и может быть куплен на легкодоступных онлайн-форумах всего за 30 долларов.

Уникально то, что в отличие от большинства существующих вирусов, использующих последние уязвимости или "нулевого дня", FormBook может внедряться в процессы и устанавливать функциональные крючки, используя уже известные проблемы. Поэтому создатели утверждают, что вирус будет работать безупречно независимо от версии Windows.

Наряду с функцией кражи и техникой уклонения, вирус умеет выполнять инструкции с сервера управления, которые включают запуск новых процессов, их внедрение и перезагрузку ПК жертвы. Более того, вирус способен записывать в память модуль Windows ntdll.dll и вызывать его напрямую, что делает мониторинг API и перехват в пользовательском режиме практически невозможным.

Indicators of Compromise

Ipv4

  • 89.31.143.1
  • 150.109.250.75
  • 162.0.223.36
  • 217.70.184.50
  • 82.98.168.235
  • 54.241.24.12
  • 85.159.66.93
  • 188.114.96.10
  • 209.17.116.163
  • 3.64.163.50
  • 198.57.151.235
  • 188.114.96.20
  • 64.98.145.30
  • 198.54.117.211
  • 96.16.143.41
  • 104.90.179.99

Domains

  • www.yolischildcare.net
  • www.pejoki.com
  • www.tenderstembroccoli.com
  • www.valheim.xyz
  • www.judithzeichner.online
  • www.hyo7jzsunsh6ad8rjwsa.com
  • www.huyueyq.com
  • www.dac-nj.com
  • www.velovitasnapit.com
  • www.hgrworld.xyz
  • www.peter-elst.com
  • www.8i4ncc079k.com
  • www.gatorlendingnearme.com
  • www.fastimporter.com
  • www.heikyoum.xyz
  • www.terracepile.online
  • www.designbybyte.com
  • www.hecsearc.com
  • www.burgerpawty.com
  • www.constructionboots.online
  • www.website33239.website
  • www.currentsea.rentals
  • www.tandemcoruna.com
  • www.shangarajive.net
  • jf-apm.pt

MD5

  • 93cc44d7890c7fd746144a5c96cd2860

SHA1

  • 561978e394aab524fa34aad5a0d0c993c1d5dbc9

SHA256

  • e2578171e1b9bcf0282b5246a8c6cb79829387a340ca70fecdc7c48c2f6ae24c
Добавить комментарий