🧠 Info-Stealer en Foco: Formbook (XLoader)

Introducción

Formbook, también conocido en su versión más reciente como XLoader, es uno de los info-stealers más persistentes y comercializados del ecosistema cibercriminal. Su diseño modular, bajo costo y facilidad de uso lo han convertido en una herramienta popular tanto en foros de hacking como en campañas maliciosas a escala global. A pesar de haber sido detectado por primera vez en 2016, su evolución como XLoader (desde 2020) le ha permitido mantenerse vigente y relevante en múltiples campañas dirigidas a empresas, usuarios finales e incluso gobiernos 🌐.

En el contexto actual, donde la información sensible fluye constantemente por formularios web, correos y navegadores, este malware representa una amenaza directa a la confidencialidad de credenciales y datos financieros.

🔬 Análisis técnico

Lenguaje y plataforma
Formbook está desarrollado principalmente en C y es distribuido como binario ejecutable para Windows. Su sucesor, XLoader, también incluye versiones para macOS, ampliando su superficie de ataque.

Funcionalidades principales

• 🔑 Robo de credenciales desde navegadores web (Chrome, Firefox, Edge).
• 📋 Captura de entradas de teclado (keylogging).
• 📷 Screenshots automáticos del entorno del usuario.
• 📥 Descarga y ejecución de cargas adicionales.
• 🛠 Extracción de contraseñas de clientes de correo y FTP.

Técnicas de evasión

• Inyección en procesos legítimos (como explorer.exe o svchost.exe).
• Uso de técnicas de "process hollowing".
• Cifrado del payload en memoria.
• Ofuscación de strings mediante algoritmos XOR o Base64.
• Comunicación C2 cifrada (a menudo HTTP POST con headers disfrazados).

Arquitectura simplificada del malware:

[Inicio]
↓
[Descompresión y evasión]
↓
[Inyección en proceso legítimo]
↓
[Captura de datos del sistema]
↓
[Transmisión a C2]

🎯 Vectores de ataque

Formbook/XLoader se propaga principalmente mediante:

• ✉️ Phishing con archivos adjuntos maliciosos (Excel, PDF, ZIP con macros o scripts)
• 🌐 Descargas en sitios web comprometidos o sitios falsos de software legítimo.
• 📤 Publicidad maliciosa (malvertising) en foros y redes sociales.
• 🧪 Exploits de día cero o fallos en el navegador/Office, aunque en menor medida.

Estos vectores suelen ir acompañados de técnicas de ingeniería social muy pulidas, como documentos con títulos corporativos o facturas falsas.

🧾 Casos resonantes

1. 📌 Campaña dirigida a sectores aeroespaciales y defensa (2021)

Investigadores de Check Point descubrieron una ola de ataques que usaban XLoader para espiar empresas de defensa en EE.UU. y Europa. Los correos incluían documentos señuelo con detalles de contratos y licitaciones. La persistencia del malware y su bajo nivel de detección generaron alarma en entornos críticos.

2. 📌 Ataques masivos a usuarios de macOS (2021-2022)

La evolución de XLoader permitió infectar equipos Apple por primera vez, utilizando archivos .jar disfrazados como instaladores legítimos. Esto marcó un hito, ya que muy pocos info-stealers eran efectivos en ese ecosistema. Fue reportado por SentinelOne y otros investigadores.

🕵️ Atribución y operadores

Formbook es considerado un "malware-as-a-service" (MaaS), y no se le atribuye a un grupo APT específico. Sin embargo:

• Se vende por suscripción en foros de la darknet, con soporte y actualizaciones.
• Operadores individuales pueden usarlo en campañas de tipo spray-and-pray o dirigidas.
• Algunos informes vinculan su uso a actores asociados con el cibercrimen en Europa del Este y Asia Central.

El hecho de que su código fuente no se haya filtrado públicamente (a diferencia de otros como Azorult o Raccoon) le da una ventaja operativa a sus desarrolladores originales.

📊 Indicadores de compromiso (IOCs)

Estos son algunos IOCs observados en campañas recientes:

Hashes de muestra

• 37d841d6c1a9f9ed137e2f837fae62e1
• f08e4db3e0e945b772abe9cc4e8ce71e

Nombres de archivos comunes

• Invoice_#47839.pdf.exe
• COVID19_Info_2024.xlsm
• Statement_of_Account.scr

Direcciones de comando y control (C2)

• hxxp://panel-order[.]top/xloader/gate.php
• hxxp://updateserver[.]xyz/form/gate.php

Direcciones IP relacionadas

• 45.9.148.201
• 193.233.204.53

Dominios asociados

• formpanel[.]org
• logindelivery[.]cc

🛡️ Medidas defensivas

Prevención

• Capacitación continua al personal sobre phishing y amenazas comunes.
• Bloqueo de macros y scripts por defecto en archivos de Office.
• Control de aplicaciones y listas blancas (application whitelisting).

Detección

• Monitorización de procesos inusuales como explorer.exe haciendo conexiones externas.
• Alertas sobre tráfico HTTP saliente no estándar o cifrado con cabeceras sospechosas.
• Uso de EDRs con detección basada en comportamiento.

Mitigación y respuesta

• Aislamiento inmediato del host infectado.
• Limpieza completa del sistema y rotación de credenciales.
• Verificación de otros endpoints en la red.
• Revisión de logs de correo y actividad inusual del usuario.

💭 Reflexión final

Formbook y su evolución como XLoader representan una amenaza sólida en el ecosistema actual por su adaptabilidad, bajo costo y capacidad multiplataforma. Si bien no es tan sofisticado como un malware de tipo APT, su alta propagación y efectividad lo convierten en un riesgo relevante para empresas de todos los tamaños.

⚠️ La capacidad de capturar credenciales sin interacción posterior, unida al sigilo con el que opera, lo posiciona como una herramienta predilecta de ciberdelincuentes. Mantener una postura de defensa en profundidad y cultura de seguridad en la organización es clave para reducir su impacto.