GETOVERX FORUM Community Support
FormBook / XLoader - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Stealers (https://forum.getoverx.com/forumdisplay.php?fid=28)
+--- Thread: FormBook / XLoader (/showthread.php?tid=111)

FormBook / XLoader - mrwebfeeder - 12-05-2025

Nombre: FormBook (posteriormente rebautizado como XLoader en algunas campañas)

Categoría: Infostealer (Malware-as-a-Service)

Fecha de descubrimiento: 2016 (como FormBook); rebautizado como XLoader en 2020

Comportamiento (lo que hace y archivos que infecta):
FormBook es un infostealer para Windows que se vende como servicio (MaaS). Está diseñado para:
- Robar información de navegadores (historial, contraseñas, cookies, formularios).
- Extraer credenciales de clientes de correo, FTP y mensajería.
- Registrar pulsaciones de teclado (keylogging).
- Ejecutar comandos remotos y descargar payloads adicionales.

Se distribuye principalmente a través de:
- Campañas de phishing con documentos de Office maliciosos (aprovechando vulnerabilidades como CVE-2017-11882 y CVE-2017-0199).
- Archivos HTA, scripts y ejecutables empaquetados en adjuntos.

Los “archivos infectados” son principalmente:
- Bases de datos y ficheros de configuración de navegadores y aplicaciones (donde se almacenan credenciales).
- Archivos temporales donde se empaqueta la información robada antes de enviarla al C2.

Persistencia:
FormBook suele:
- Copiarse en carpetas de perfil de usuario.
- Crear claves de inicio automático en el Registro (HKCU\Software\Microsoft\Windows\CurrentVersion\Run).
- Modificar accesos directos o usar scripts adicionales para ejecutarse al inicio.
Algunas variantes se enfocan en robo “rápido” (robar y salir), mientras otras se quedan como agente persistente para exfiltrar datos periódicamente.

Hash real de referencia (SHA-256):
Muestra pública asociada a FormBook:
Code:
9001567e2025f83c936b8746fd3b01e44572f70d8ddec39b75b9459f7e5089c8

Mitigación con GetOverX Shield v3.0.2.0 o Superior:
  • Antivirus:
    Lanzar un escaneo completo para eliminar el ejecutable de FormBook/XLoader, sus droppers y cualquier archivo auxiliar (HTA, scripts, EXE) usado en la cadena de infección.

  • Firewall:
    Bloquear comunicaciones con los dominios/IPs C2 asociados a FormBook, así como tráfico HTTP/HTTPS hacia dominios de baja reputación desde el host afectado. Aislar temporalmente el equipo si se sospecha exfiltración masiva.

  • HIPS/EDR:
    Configurar reglas para detectar:
    - Acceso masivo a bases de datos de navegadores y clientes de correo.
    - Creación de archivos comprimidos/paquetes en %TEMP% con datos de usuario.
    - Keylogging y captura de formularios.
    Cuando se detecte este comportamiento, matar el proceso, bloquear el binario y registrar el evento.

  • Sandbox:
    Analizar en Sandbox:
    - Documentos de Office recibidos por correo que pidan habilitar macros o contenido activo.
    - Adjuntos con exploits conocidos (por ejemplo, plantillas que exploten CVE-2017-11882/0199).
    Observar si intentan descargar y ejecutar un payload como FormBook.

  • Medidas posteriores al incidente:
    - Cambiar todas las credenciales almacenadas en el navegador y aplicaciones (correo, FTP, VPN, banca).
    - Activar MFA donde sea posible.
    - Revisar actividad de cuentas sensibles durante el periodo de infección.