12-05-2025, 04:25 PM
Nombre: FormBook (posteriormente rebautizado como XLoader en algunas campañas)
Categoría: Infostealer (Malware-as-a-Service)
Fecha de descubrimiento: 2016 (como FormBook); rebautizado como XLoader en 2020
Comportamiento (lo que hace y archivos que infecta):
FormBook es un infostealer para Windows que se vende como servicio (MaaS). Está diseñado para:
- Robar información de navegadores (historial, contraseñas, cookies, formularios).
- Extraer credenciales de clientes de correo, FTP y mensajería.
- Registrar pulsaciones de teclado (keylogging).
- Ejecutar comandos remotos y descargar payloads adicionales.
Se distribuye principalmente a través de:
- Campañas de phishing con documentos de Office maliciosos (aprovechando vulnerabilidades como CVE-2017-11882 y CVE-2017-0199).
- Archivos HTA, scripts y ejecutables empaquetados en adjuntos.
Los “archivos infectados” son principalmente:
- Bases de datos y ficheros de configuración de navegadores y aplicaciones (donde se almacenan credenciales).
- Archivos temporales donde se empaqueta la información robada antes de enviarla al C2.
Persistencia:
FormBook suele:
- Copiarse en carpetas de perfil de usuario.
- Crear claves de inicio automático en el Registro (HKCU\Software\Microsoft\Windows\CurrentVersion\Run).
- Modificar accesos directos o usar scripts adicionales para ejecutarse al inicio.
Algunas variantes se enfocan en robo “rápido” (robar y salir), mientras otras se quedan como agente persistente para exfiltrar datos periódicamente.
Hash real de referencia (SHA-256):
Muestra pública asociada a FormBook:
Mitigación con GetOverX Shield v3.0.2.0 o Superior:
Categoría: Infostealer (Malware-as-a-Service)
Fecha de descubrimiento: 2016 (como FormBook); rebautizado como XLoader en 2020
Comportamiento (lo que hace y archivos que infecta):
FormBook es un infostealer para Windows que se vende como servicio (MaaS). Está diseñado para:
- Robar información de navegadores (historial, contraseñas, cookies, formularios).
- Extraer credenciales de clientes de correo, FTP y mensajería.
- Registrar pulsaciones de teclado (keylogging).
- Ejecutar comandos remotos y descargar payloads adicionales.
Se distribuye principalmente a través de:
- Campañas de phishing con documentos de Office maliciosos (aprovechando vulnerabilidades como CVE-2017-11882 y CVE-2017-0199).
- Archivos HTA, scripts y ejecutables empaquetados en adjuntos.
Los “archivos infectados” son principalmente:
- Bases de datos y ficheros de configuración de navegadores y aplicaciones (donde se almacenan credenciales).
- Archivos temporales donde se empaqueta la información robada antes de enviarla al C2.
Persistencia:
FormBook suele:
- Copiarse en carpetas de perfil de usuario.
- Crear claves de inicio automático en el Registro (HKCU\Software\Microsoft\Windows\CurrentVersion\Run).
- Modificar accesos directos o usar scripts adicionales para ejecutarse al inicio.
Algunas variantes se enfocan en robo “rápido” (robar y salir), mientras otras se quedan como agente persistente para exfiltrar datos periódicamente.
Hash real de referencia (SHA-256):
Muestra pública asociada a FormBook:
Code:
9001567e2025f83c936b8746fd3b01e44572f70d8ddec39b75b9459f7e5089c8Mitigación con GetOverX Shield v3.0.2.0 o Superior:
- Antivirus:
Lanzar un escaneo completo para eliminar el ejecutable de FormBook/XLoader, sus droppers y cualquier archivo auxiliar (HTA, scripts, EXE) usado en la cadena de infección.
- Firewall:
Bloquear comunicaciones con los dominios/IPs C2 asociados a FormBook, así como tráfico HTTP/HTTPS hacia dominios de baja reputación desde el host afectado. Aislar temporalmente el equipo si se sospecha exfiltración masiva.
- HIPS/EDR:
Configurar reglas para detectar:
- Acceso masivo a bases de datos de navegadores y clientes de correo.
- Creación de archivos comprimidos/paquetes en %TEMP% con datos de usuario.
- Keylogging y captura de formularios.
Cuando se detecte este comportamiento, matar el proceso, bloquear el binario y registrar el evento.
- Sandbox:
Analizar en Sandbox:
- Documentos de Office recibidos por correo que pidan habilitar macros o contenido activo.
- Adjuntos con exploits conocidos (por ejemplo, plantillas que exploten CVE-2017-11882/0199).
Observar si intentan descargar y ejecutar un payload como FormBook.
- Medidas posteriores al incidente:
- Cambiar todas las credenciales almacenadas en el navegador y aplicaciones (correo, FTP, VPN, banca).
- Activar MFA donde sea posible.
- Revisar actividad de cuentas sensibles durante el periodo de infección.