Threats

Ransomware conta com funcionalidade de roubo de passwords de email

O ransomware FTCODE voltou ao ativo e está munido de capacidades de roubo de informação direcionado para serviços de emails e browsers

22/01/2020

Ransomware conta com funcionalidade de roubo de passwords de email

O FTCODE foi visto pela primeira vez em 2013, pela Sophos, e o malware, que se acredita ter ligações a grupos russos, despertou o interesse dos investigadores dada a sua dependência do PowerShell, uma linguagem da Microsoft desenhada para automação de tarefas e gestão de redes.

O ransomware tinha como alvo inicial os utilizadores russos, mas, desde que foi introduzido, os operadores de malware começaram a ter utilizadores que falam outras línguas como alvos.

Em outubro de 2019, o ransomware foi vinculado a campanhas de phishing e e-mail direcionadas aos utilizadores italianos através de documentos que contém macros maliciosos, uma maneira comum de os ciberataques implementarem exploit kits.

O que parece ser a versão mais recente do malware chega às máquinas infetadas pelo mesmo vetor de ataque - documentos que contêm macros. No entanto, estes macros contêm links para VBScripts que implementam o FTCODE baseado no PowerShell, disfarçado como um arquivo de imagem .JPEG e que fica na pasta temporária do Windows.

As informações básicas do sistema são recolhidas e enviadas para um servidor de comando e controlo (C2) em espera e a persistência é protegida através de um arquivo de atalho na pasta de inicialização que é executada na reinicialização do dispositivo.

O FTCODE examinará o sistema infetado à procura de unidades com pelo menos 50kb de espaço livre e começa a criptografar arquivos com extensões que incluem .das, .rar, .avi, .epk e .docx. Uma nota de resgate é então lançada.

A versão mais recente do malware também é capaz de roubar credenciais do navegador e do email, uma atualização significativa nas iterações anteriores. Os dados roubados são criptografados com base64 e enviados por uma solicitação HTTP POST.


NOTÍCIAS RELACIONADAS

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº20 Outubro 2024

IT SECURITY Nº20 Outubro 2024

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.