Threats
O ransomware FTCODE voltou ao ativo e está munido de capacidades de roubo de informação direcionado para serviços de emails e browsers
22/01/2020
O FTCODE foi visto pela primeira vez em 2013, pela Sophos, e o malware, que se acredita ter ligações a grupos russos, despertou o interesse dos investigadores dada a sua dependência do PowerShell, uma linguagem da Microsoft desenhada para automação de tarefas e gestão de redes. O ransomware tinha como alvo inicial os utilizadores russos, mas, desde que foi introduzido, os operadores de malware começaram a ter utilizadores que falam outras línguas como alvos. Em outubro de 2019, o ransomware foi vinculado a campanhas de phishing e e-mail direcionadas aos utilizadores italianos através de documentos que contém macros maliciosos, uma maneira comum de os ciberataques implementarem exploit kits. O que parece ser a versão mais recente do malware chega às máquinas infetadas pelo mesmo vetor de ataque - documentos que contêm macros. No entanto, estes macros contêm links para VBScripts que implementam o FTCODE baseado no PowerShell, disfarçado como um arquivo de imagem .JPEG e que fica na pasta temporária do Windows. As informações básicas do sistema são recolhidas e enviadas para um servidor de comando e controlo (C2) em espera e a persistência é protegida através de um arquivo de atalho na pasta de inicialização que é executada na reinicialização do dispositivo. O FTCODE examinará o sistema infetado à procura de unidades com pelo menos 50kb de espaço livre e começa a criptografar arquivos com extensões que incluem .das, .rar, .avi, .epk e .docx. Uma nota de resgate é então lançada. A versão mais recente do malware também é capaz de roubar credenciais do navegador e do email, uma atualização significativa nas iterações anteriores. Os dados roubados são criptografados com base64 e enviados por uma solicitação HTTP POST. |