Los investigadores de Zscaler detectaron una versión actualizada del ransomware FTCODE, y esta vez parece que los autores se centraron un poco más en las capacidades de robo de contraseñas.
Un análisis realizado por el equipo de ThreatLabZ revela que el malware se dirige específicamente a los usuarios de Windows de habla italiana, y la última versión, detectada como 1117.1, emplea un método de descarga VBScript para un ataque más sofisticado.
Más específicamente, los atacantes usan correos electrónicos para difundir el ransomware a objetivos potenciales. Los correos electrónicos maliciosos incluyen documentos infectados y VBScripts, que cuando se ejecutan ejecutan un script de PowerShell que desencadena la infección del ransomware.
"El script primero descarga una imagen señuelo en la carpeta% temp% y la abre tratando de engañar a los usuarios para que crean que simplemente recibieron una imagen, pero en el fondo descarga y ejecuta el ransomware", explican los investigadores de seguridad.
Nota de rescate dejada en la carpeta raíz
Como era de esperar, el malware intenta obtener persistencia creando un acceso directo llamado windowsIndexingService.lnk en la carpeta de inicio de Windows. Además, crea una tarea programada llamada WindowsApplicationService. Tanto el acceso directo como la tarea programada ejecutan el script malicioso WindowsIndexingService.vbs.
Una vez que el dispositivo está infectado, el ransomware encripta una amplia gama de formatos de archivo y suelta una nota de rescate llamada "READ_ME_NOW.htm" en la carpeta raíz.
"FTCODE genera una contraseña utilizando GUID y un conjunto de caracteres aleatorio generado anteriormente. Utiliza el cifrado de clave simétrica Rijndael para cifrar los 40960 bytes de cada uno de los archivos de extensión anteriores. El vector de inicialización se basa en 11 caracteres generados aleatoriamente ”, revela el análisis.
Los usuarios reciben instrucciones de descargar el navegador TOR y visitar un enlace donde deben pagar la clave de descifrado que les permite desbloquear sus archivos.
Además de cifrar archivos, el ransomware también roba credenciales de los navegadores y clientes de correo electrónico más populares, incluidos Internet Explorer , Mozilla Firefox , Mozilla Thunderbird , Google Chrome y Microsoft Outlook. El ransomware puede escanear las ubicaciones predeterminadas donde estas aplicaciones almacenan credenciales, extraer los datos y luego subirlos a un servidor de C&C.
Fecha actualización el 2021-01-22. Fecha publicación el 2020-01-22. Categoría: ransomware Autor: Oscar olg Mapa del sitio Fuente: softpedia Version movil