El ransomware FTCODE ahora está armado con funciones de robo de contraseñas de correo electrónico y navegador


La compañía despidió a 300 empleados antes de Navidad debido al ataque de ransomware
La firma de telemarketing con sede en Arkansas le dice al individual que busque un nuevo empleo después de suspender todas las operaciones justo antes de las vacaciones.

El ransomware FTCODE está de vuelta con un nuevo conjunto de capacidades de robo de información dirigidas a navegadores y servicios de correo electrónico.

Visto por primera vez en 2013 por Sophos, el malware, que se cree que es la obra de los grupos de amenaza rusos, despertó el interés de los investigadores debido a su dependencia de PowerShell, un lenguaje de secuencias de comandos de Microsoft diseñado para la automatización de tareas y la administración de redes.

El ransomware se había dirigido previamente a usuarios de habla rusa, pero desde su creación, los operadores del malware han ampliado sus horizontes para incluir víctimas de otros idiomas.

Ver también: Los nuevos ataques de ransomware se dirigen a sus dispositivos NAS, almacenamiento de respaldo

En octubre de 2019, el ransomware estaba vinculado a campañas de phishing y correo electrónico. dirigido a usuarios italianos a través de documentos que contienen macros maliciosas, una forma común para que los ciberatacantes implementen kits de explotación.

Según los investigadores de Zscaler ThreatLabZ, Rajdeepsinh Dodia, Amandeep Kumar y Atinderpal Singh, el malware ahora se está descargando a través de VBScript, pero todavía se basa en PowerShell.

«La campaña de ransomware FTCODE está cambiando rápidamente» el equipo dice. «Debido al lenguaje de secuencias de comandos en el que se escribió, ofrece múltiples ventajas a los actores de amenazas, permitiéndoles agregar o quitar funciones fácilmente o hacer ajustes mucho más fácilmente de lo que es posible con el malware tradicionalmente compilado».

Lo que parece ser la última versión del malware, 1117.1, llega a las máquinas infectadas a través del mismo vector de ataque: documentos que contienen macros. Sin embargo, estas macros contienen enlaces a VBScripts que implementan el FTCODE basado en PowerShell, disfrazado como un archivo de imagen señuelo .JPEG que aterriza en la carpeta% temp% de Home windows.

CNET: Fraude de intercambio de SIM: qué es, por qué debería importarle y cómo protegerse

En muchos aspectos, FTCODE actúa como un ransomware típico. La información básica del sistema se cosecha y se envía a un servidor de comando y management (C2) en espera, y la persistencia se asegura a través de un archivo de acceso directo en la carpeta de inicio que se ejecuta al reiniciar.

FTCODE luego escaneará el sistema infectado en busca de unidades con al menos 50kb de espacio libre y comenzará a cifrar archivos con extensiones que incluyen .das, .rar, .avi, .epk y .docx. Luego se publica una nota de rescate. Tecnologías positivas dice la solicitud inicial es de $ 500 pero aumenta con el tiempo.

screenshot-2020-01-21-at-13-48-03.png

ZScaler

La última versión del malware también es capaz de robar credenciales de navegador y correo electrónico, una actualización significativa en iteraciones pasadas.

La información del navegador World wide web Explorer, Mozilla Firefox y Google Chrome, junto con las credenciales de correo electrónico de Microsoft Outlook y Mozilla Thunderbird, se pueden robar y enviar a los operadores del malware a través del C2.

Los datos robados se cifran con base64 y se envían a través de una solicitud HTTP Put up, como lo indica Good Technologies.

Los investigadores agregan en su informe que el ransomware también puede instalar el descargador JasperLoader, que puede usarse para implementar cargas maliciosas adicionales.

TechRepublic: Esta nueva startup tiene como objetivo hacer que los desarrolladores amen la seguridad

En noticias relacionadas, el martes, Safebreach Labs informó la conclusión de una investigación sobre cómo el ransomware podría explotar el Sistema de cifrado de archivos (EFS) de Microsoft Windows para cifrar y bloquear Laptop.

Después de desarrollar una variante conceptual de malware y crear con éxito ataques viables, los investigadores probaron su ransomware contra tres formas populares de application antivirus, que no lograron detener la amenaza. En total, 17 proveedores de ciberseguridad recibieron informes de prueba de concepto (PoC), la mayoría de los cuales ahora han lanzado actualizaciones de computer software proactivas antes de que tal ataque se use en la naturaleza.

Cobertura previa y relacionada


¿Tienes una propina? Póngase en contacto de forma segura a través de WhatsApp | Señal en +447713 025 499, o más en Keybase: charlie0




Enlace a la noticia initial