# Formbook > Tipo: **infostealer** (MaaS) · S0514 · [MITRE ATT&CK](https://attack.mitre.org/software/S0514) ## Visão Geral [[s0514-formbook|Formbook]] e um infostealer sofisticado disponibilizado como Malware-as-a-Service (MaaS) desde 2016, amplamente distribuido em campanhas de phishing globais. Em 2020-2021, o malware evoluiu para a variante [[s0514-formbook|xLoader]] (S1207 no MITRE ATT&CK), com suporte nativo a macOS e mudança no modelo de negocio: em vez de vender um kit completo, a infraestrutura C2 passou a ser alugada a clientes, tornando a pirataria mais difícil e o modelo mais lucrativo. O Formbook/xLoader e consistentemente ranqueado entre os infostealers mais detectados globalmente, sendo acessivel a operadores sem experiência técnica. Técnicamente, o Formbook e escrito em C e assembly x86, com todas as strings criptografadas (Stack Strings) e API resolution dinâmica via hashing para impedir análise estática. O malware executa em tres fases: (1) se injeta em `explorer.exe` usando thread hijacking e APC injection; (2) mapeia uma copia limpa do `ntdll.dll` para contornar hooks de segurança (Lagos Island method); (3) injeta nos processos alvo (browsers, clientes de email) para instalar hooks que interceptam formularios web antes da criptografia (form-grabbing). O C2 usa URLs com parametros específicos e dominios decoy na configuração para mascarar comunicação real. Novas variantes em 2025 continuam adicionando técnicas de ofuscacao (empacotadores como CyaX, NSIS), carregamento via JavaScript/PowerShell multistagio, e uso de services legitimos (Google Drive, Azure Blob Storage) para hospedar payloads, dificultando detecção por soluções de network security. **Plataformas:** Windows, macOS (variante xLoader) ## Como Funciona ```mermaid graph TB A["📧 Phishing multiformat<br/>ZIP/RAR/Office/PDF<br/>T1566.001 Spearphishing"] --> B["💥 Execução inicial<br/>CVE-2017-11882 Office<br/>T1203 Client Execution"] B --> C["📦 Loader multistagio<br/>JS/PS/CyaX packer<br/>T1027 Obfuscation"] C --> D["💉 Injecao explorer.exe<br/>APC + Thread Hijacking<br/>ntdll.dll Lagos Island"] D --> E["🪝 Hooks nos browsers<br/>Form-grabbing HTTP<br/>T1185 Session Hijacking"] E --> F["📤 Exfiltração C2<br/>POST com dados roubados<br/>Dominios decoy no config"] classDef deliver fill:#e74c3c,color:#fff classDef exploit fill:#e67e22,color:#fff classDef pack fill:#8e44ad,color:#fff classDef inject fill:#2980b9,color:#fff classDef hook fill:#27ae60,color:#fff classDef exfil fill:#2c3e50,color:#fff class A deliver class B exploit class C pack class D inject class E hook class F exfil ``` ## Timeline ```mermaid timeline title Formbook/xLoader - Evolução 2016 : Formbook lancado como MaaS em forums 2017 : Source code parcial vazado em forums 2020 : xLoader lancado - suporte macOS adicionado 2021 : Mudanca para modelo de aluguel de C2 2022 : Campanhas contra Ucrania documentadas 2024 : 84% aumento entrega via phishing (IBM X-Force) 2025 : Top infostealer global, campanhas LATAM aumentando ``` ## Técnicas Utilizadas - [[t1056-001-keylogging|T1056.001 - Keylogging]] - [[t1185-browser-session-hijacking|T1185 - Browser Session Hijacking]] - [[t1115-clipboard-data|T1115 - Clipboard Data]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1071-001-web-protocols|T1071.001 - Web Protocols]] - [[t1027-obfuscated-files-or-information|T1027 - Obfuscated Files or Information]] - [[t1055-process-injection|T1055 - Process Injection]] - [[t1082-system-information-discovery|T1082 - System Information Discovery]] - [[t1041-exfiltration-over-c2-channel|T1041 - Exfiltration Over C2 Channel]] - [[t1555-003-credentials-from-web-browsers|T1555.003 - Credentials from Web Browsers]] - [[t1539-steal-web-session-cookie|T1539 - Steal Web Session Cookie]] - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] ## Detecção > [!tip] Indicadores de Detecção > - Detectar injicao de código em processos de browser (chrome.exe, firefox.exe) por processos nao-relacionados - especialmente `explorer.exe` como processo intermediario > - Monitorar acesso ao clipboard por processos suspeitos fora de aplicativos de produtividade (Sysmon Event ID 24) > - Alertar sobre `explorer.exe` com conexoes de rede incomuns ou com handles abertos a processos de browser > - Verificar heuristicas de e-mail para anexos com macros (CVE-2017-11882), arquivos ZIP/RAR com executaveis, e PDFs com links externos > - Implementar regras de detecção para padroes de comunicação C2 do Formbook: POST requests com URLs de parametros específicos e Content-Type application/x-www-form-urlencoded **Regras Sigma:** - `proc_creation_win_susp_process_injection.yml` - injecao em processos de browser - `sysmon_susp_win_api_calls.yml` - uso de NtQueueApcThread para APC injection - `net_susp_http_formbook_c2.yml` - padroes de C2 do Formbook/xLoader ## Relevância LATAM/Brasil O [[s0514-formbook|Formbook]] e amplamente utilizado em campanhas que atingem o Brasil, particularmente contra o setor industrial, logistico e de comercio exterior. Campanhas brasileiras documentadas utilizam lures de boletos, notas fiscais, documentos alfandegarios e notificacoes bancarias para distribuir o malware. O modelo MaaS torna o Formbook acessivel a operadores locais, que podem personalizar campanhas com iscas em portugues sem necessidade de desenvolvimento tecnico avancado. O IBM X-Force 2025 documenta específicamente um "spike" em campanhas de infostealer no Brasil usando servicos cloud (Azure Blob Storage) como hospedagem de payload - técnica de distribuição tipica do Formbook/xLoader recente. A variante xLoader com suporte a macOS e relevante para organizacoes brasileiras nos setores de tecnologia e design criativo onde Macs sao predominantes. ## Referências - [MITRE ATT&CK - S0514 Formbook](https://attack.mitre.org/software/S0514) - [MITRE ATT&CK - S1207 XLoader](https://attack.mitre.org/software/S1207/) - [Stormshield - Formbook In-Depth Analysis](https://www.stormshield.com/news/in-depth-formbook-malware-analysis-obfuscation-and-process-injection/) - [CyberSecSentinel - Formbook/XLoader 2025](https://cybersecsentinel.com/infostealer-formbook-exploits-phishing-to-steal-credentials-and-deploy-malware/) - [Netskope - Formbook/XLoader Phishing Campaign](https://www.netskope.com/blog/new-formbook-campaign-delivered-through-phishing-emails)