Trusted Design

The Formidable FormBook Form Grabber

概要

More and more we’ve been seeing references to a malware family known as FormBook. Per its advertisements it is an infostealer that steals form data from various web browsers and other applications. It is also a keylogger and can take screenshots. The malware code is complicated, busy, and fairly obfuscated–there are no Windows API calls or obvious strings. This post will start to explore some of these obfuscations to get a better understanding of how FormBook works.

Created: 2026-02-23

Indicators

類似Pulses

Formbook malware used to install JRAT and HawkEye Keylogger (score: 0.69)
New Banking Trojan Fobber, a new variant of Tinba (score: 0.55)
Bookworm Trojan: A Model of Modular Architecture (score: 0.54)
Stegoloader: A Stealthy Information Stealer (score: 0.53)
Malicious Office files dropping Kasidet and Dridex (score: 0.52)

このPulseに関連する脅威アクター (事実ベース)

Dragonfly

Score: 4.05

Matched TTPs:

T1156 - Malicious Shell Modification
T1059.012 - Hypervisor CLI

MITREへのリンク →

BRONZE BUTLER

Score: 4.05

Matched TTPs:

T1156 - Malicious Shell Modification
T1059.012 - Hypervisor CLI

MITREへのリンク →

Gamaredon Group

Score: 8.69

Matched TTPs:

T1156 - Malicious Shell Modification
T1061 - Graphical User Interface
T1601.001 - Patch System Image

MITREへのリンク →

OilRig

Score: 10.93

Matched TTPs:

T1156 - Malicious Shell Modification
T1128 - Netsh Helper DLL
T1526 - Cloud Service Discovery
T1556 - Modify Authentication Process

MITREへのリンク →

APT28

Score: 4.05

Matched TTPs:

T1156 - Malicious Shell Modification
T1059.012 - Hypervisor CLI

MITREへのリンク →

GOLD SOUTHFIELD

Score: 4.15

Matched TTPs:

T1156 - Malicious Shell Modification
T1601.001 - Patch System Image

MITREへのリンク →

APT42

Score: 5.03

Matched TTPs:

T1156 - Malicious Shell Modification
T1128 - Netsh Helper DLL

MITREへのリンク →

Magic Hound

Score: 5.92

Matched TTPs:

T1156 - Malicious Shell Modification
T1601.001 - Patch System Image
T1059.012 - Hypervisor CLI

MITREへのリンク →

MuddyWater

Score: 4.15

Matched TTPs:

T1156 - Malicious Shell Modification
T1601.001 - Patch System Image

MITREへのリンク →

Winter Vivern

Score: 4.05

Matched TTPs:

T1156 - Malicious Shell Modification
T1059.012 - Hypervisor CLI

MITREへのリンク →

Silence

Score: 4.15

Matched TTPs:

T1156 - Malicious Shell Modification
T1601.001 - Patch System Image

MITREへのリンク →

Volt Typhoon

Score: 5.57

Matched TTPs:

T1156 - Malicious Shell Modification
T1491 - Defacement

MITREへのリンク →

Kimsuky

Score: 10.05

Matched TTPs:

T1156 - Malicious Shell Modification
T1027.014 - Polymorphic Code
T1601.001 - Patch System Image
T1526 - Cloud Service Discovery

MITREへのリンク →

Dark Caracal

Score: 4.05

Matched TTPs:

T1156 - Malicious Shell Modification
T1059.012 - Hypervisor CLI

MITREへのリンク →

FIN7

Score: 8.69

Matched TTPs:

T1156 - Malicious Shell Modification
T1011.001 - Exfiltration Over Bluetooth
T1601.001 - Patch System Image

MITREへのリンク →

Fox Kitten

Score: 8.99

Matched TTPs:

T1491 - Defacement
T1601.001 - Patch System Image
T1588.005 - Exploits

MITREへのリンク →

APT38

Score: 9.59

Matched TTPs:

T1491 - Defacement
T1059.012 - Hypervisor CLI
T1059.005 - Visual Basic

MITREへのリンク →

Scattered Spider

Score: 7.13

Matched TTPs:

T1491 - Defacement
T1588.005 - Exploits

MITREへのリンク →

Moonstone Sleet

Score: 3.29

Matched TTPs:

T1491 - Defacement

MITREへのリンク →

Chimera

Score: 5.15

Matched TTPs:

T1491 - Defacement
T1601.001 - Patch System Image

MITREへのリンク →

TA551

Score: 4.61

Matched TTPs:

T1027.014 - Polymorphic Code
T1601.001 - Patch System Image

MITREへのリンク →

Cobalt Group

Score: 7.36

Matched TTPs:

T1027.014 - Polymorphic Code
T1128 - Netsh Helper DLL
T1601.001 - Patch System Image

MITREへのリンク →

Leviathan

Score: 4.51

Matched TTPs:

T1027.014 - Polymorphic Code
T1059.012 - Hypervisor CLI

MITREへのリンク →

APT32

Score: 9.12

Matched TTPs:

T1027.014 - Polymorphic Code
T1601.001 - Patch System Image
T1059.012 - Hypervisor CLI
T1556 - Modify Authentication Process

MITREへのリンク →

APT19

Score: 6.38

Matched TTPs:

T1027.014 - Polymorphic Code
T1601.001 - Patch System Image
T1059.012 - Hypervisor CLI

MITREへのリンク →

Medusa Group

Score: 4.61

Matched TTPs:

T1128 - Netsh Helper DLL
T1601.001 - Patch System Image

MITREへのリンク →

FIN6

Score: 7.36

Matched TTPs:

T1128 - Netsh Helper DLL
T1601.001 - Patch System Image
T1556 - Modify Authentication Process

MITREへのリンク →

FIN8

Score: 10.51

Matched TTPs:

T1128 - Netsh Helper DLL
T1601.001 - Patch System Image
T1526 - Cloud Service Discovery
T1556 - Modify Authentication Process

MITREへのリンク →

Leafminer

Score: 3.63

Matched TTPs:

T1601.001 - Patch System Image
T1059.012 - Hypervisor CLI

MITREへのリンク →

Wizard Spider

Score: 7.76

Matched TTPs:

T1601.001 - Patch System Image
T1526 - Cloud Service Discovery
T1556 - Modify Authentication Process

MITREへのリンク →

Patchwork

Score: 3.63

Matched TTPs:

T1601.001 - Patch System Image
T1059.012 - Hypervisor CLI

MITREへのリンク →

Turla

Score: 3.63

Matched TTPs:

T1601.001 - Patch System Image
T1059.012 - Hypervisor CLI

MITREへのリンク →

Contagious Interview

Score: 9.15

Matched TTPs:

T1601.001 - Patch System Image
T1221 - Template Injection
T1556 - Modify Authentication Process

MITREへのリンク →

Lazarus Group

Score: 8.64

Matched TTPs:

T1059.012 - Hypervisor CLI
T1055.005 - Thread Local Storage
T1556 - Modify Authentication Process

MITREへのリンク →

Threat Group-3390

Score: 4.92

Matched TTPs:

T1059.012 - Hypervisor CLI
T1526 - Cloud Service Discovery

MITREへのリンク →

Equation

Score: 4.13

Matched TTPs:

T1130 - Install Root Certificate

MITREへのリンク →

Strider

Score: 4.13

Matched TTPs:

T1130 - Install Root Certificate

MITREへのリンク →

BlackTech

Score: 3.15

Matched TTPs:

T1526 - Cloud Service Discovery

MITREへのリンク →

Mustang Panda

Score: 10.03

Matched TTPs:

T1526 - Cloud Service Discovery
T1055.005 - Thread Local Storage
T1556 - Modify Authentication Process

MITREへのリンク →

LAPSUS$

Score: 3.84

Matched TTPs:

T1588.005 - Exploits

MITREへのリンク →

このPulseに関連する脅威アクター (推論ベース)

FIN8

Score: 0.78

Matched TTPs:

T1128 - Netsh Helper DLL
T1526 - Cloud Service Discovery
T1556 - Modify Authentication Process
T1601.001 - Patch System Image

MITREへのリンク →

OilRig

Score: 0.74

Matched TTPs:

T1128 - Netsh Helper DLL
T1526 - Cloud Service Discovery
T1556 - Modify Authentication Process
T1156 - Malicious Shell Modification

MITREへのリンク →

Kimsuky

Score: 0.71

Matched TTPs:

T1027.014 - Polymorphic Code
T1526 - Cloud Service Discovery
T1601.001 - Patch System Image
T1156 - Malicious Shell Modification

MITREへのリンク →

Mustang Panda

Score: 0.70

Matched TTPs:

T1556 - Modify Authentication Process
T1526 - Cloud Service Discovery
T1055.005 - Thread Local Storage

MITREへのリンク →

APT38

Score: 0.67

Matched TTPs:

T1491 - Defacement
T1059.005 - Visual Basic
T1059.012 - Hypervisor CLI

MITREへのリンク →

FIN7

Score: 0.66

Matched TTPs:

T1011.001 - Exfiltration Over Bluetooth
T1601.001 - Patch System Image
T1156 - Malicious Shell Modification

MITREへのリンク →

APT32

Score: 0.65

Matched TTPs:

T1059.012 - Hypervisor CLI
T1027.014 - Polymorphic Code
T1556 - Modify Authentication Process
T1601.001 - Patch System Image

MITREへのリンク →

Fox Kitten

Score: 0.63

Matched TTPs:

T1491 - Defacement
T1588.005 - Exploits
T1601.001 - Patch System Image

MITREへのリンク →

Contagious Interview

Score: 0.63

Matched TTPs:

T1221 - Template Injection
T1556 - Modify Authentication Process
T1601.001 - Patch System Image

MITREへのリンク →

Gamaredon Group

Score: 0.62

Matched TTPs:

T1061 - Graphical User Interface
T1601.001 - Patch System Image
T1156 - Malicious Shell Modification

MITREへのリンク →

Lazarus Group

Score: 0.61

Matched TTPs:

T1055.005 - Thread Local Storage
T1556 - Modify Authentication Process
T1059.012 - Hypervisor CLI

MITREへのリンク →

Wizard Spider

Score: 0.61

Matched TTPs:

T1526 - Cloud Service Discovery
T1556 - Modify Authentication Process
T1601.001 - Patch System Image

MITREへのリンク →

FIN6

Score: 0.55

Matched TTPs:

T1128 - Netsh Helper DLL
T1556 - Modify Authentication Process
T1601.001 - Patch System Image

MITREへのリンク →

Related CVEs

このPulseに見つかったCVEはありません。

Pulse – 脅威アクターグラフ

← Pulse一覧に戻る