FormBook

🔍 Contexte Publié le 2 avril 2026 par Censys (auteur : Andrew Northern, Principal Security Researcher), cet article présente une découverte CTI issue d’une méthodologie de chasse technique basée sur l’analyse des corps de réponses HTTP à l’échelle d’Internet. La recherche a permis de surface une campagne ClickFix active livrant XWorm V5.6 via le loader MaaS PhantomVAI. 🎯 Vecteur d’entrée et infrastructure compromise Le point d’entrée est le site d’une entreprise turque de matériel médical, orcanmedikal[.]com[.]tr, dont tous les sous-domaines (naked domain, www, mail) servent une page identique de 1 655 octets intitulée “AntiFraud Authenticator”. Cette page ClickFix invite la victime à cliquer sur un bouton COPY, ce qui copie silencieusement une commande PowerShell encodée dans le presse-papiers via navigator.clipboard.writeText(). ...

🔍 Contexte Publié le 31 mars 2026 par ThreatLabz (Zscaler), cet article constitue une analyse technique approfondie des évolutions introduites dans Xloader à partir de la version 8.1, un malware de type stealer/loader issu du rebranding de FormBook. 🛡️ Nouvelles techniques d’obfuscation (v8.1+) Xloader v8.1 introduit plusieurs améliorations significatives pour contrer l’analyse automatisée et le reverse engineering : Construction désordonnée des paramètres « eggs » : les marqueurs de début et de fin des fonctions chiffrées sont désormais construits dans un ordre aléatoire et octet par octet, rendant le pattern matching inefficace. Obfuscation des prédicats opaques : les valeurs constantes hardcodées sont chiffrées via des opérations XOR au niveau bit, y compris les octets de prologue de fonctions. Routine de déchiffrement personnalisée obfusquée : la fonction de déchiffrement passe désormais par une structure de paramètres contenant des valeurs hardcodées chiffrées (ex. : déchiffrement de la taille de la S-box via la valeur 0x25 + 0xDB). L’outil Miasm framework est recommandé pour reconstruire statiquement la pile obfusquée. 🌐 Protocole réseau et communication C2 Objectifs principaux d’Xloader : ...