giovedì 3 ottobre 2019

Ransomware FTCode: arrivano nuovi dettagli e non sono affatto buone notizie


Abbiamo parlato qualche giorno fa di FTCode, un ransomware che viene diffuso via PEC e che è in diffusione soltanto in Italia. Dato che continuiamo a ricevere segnalazioni di infezione e richieste di supporto per la risoluzione della criptazione dei file, torniamo sull'argomento, purtroppo con notizie pessime. 

Un ransomware obsoleto
La prima notizia è che FTCode è un ransomware molto molto vecchio, individuato addirittura nel lontano 2013 e mai risolto, anche perchè per circa 6 anni è come scomparso nel nulla. I nostri tecnici, così come quelli di Bleeping Computer che hanno provveduto ad analisi del codice del ransomware, confermano che l'algoritmo di criptazione non mostra alcuna falla sfruttabile per produrre un tool di risoluzione che possa riportare in chiaro i file. L'analisi dei tecnici di Certego invece ha confermato che è in diffusione la stessa identica variante diffusa nel 2013, con alcune piccolissime modifiche che dimostrano che c'è un attaccante / più attaccanti che stanno aggiornando il codice. Nei giorni scorsi infatti è stata notata l'aggiunta di due nuove richieste ai server di comando e controllo: una per avvisare dell'avvio della criptazione e una per il termine della routine. 

Essendo poi FTCode un ransomware completamente basato su PowerShell, gode di un vantaggio: non necessita del download di nessun componente aggiuntivo per avviare la criptazione dei file presenti sul sistema bersaglio. 

Nuove forme di diffusione
Nelle prime segnalazioni, le email PEC vettore imitavano comunicazioni ufficiali del Tribunale di Milano, ma ormai ne sono in diffusione molte altre versioni, per quanto lo schema rimanga ricorrente (email di spam con testo in italiano e allegato .ZIP): circolano false fatture, falsi curriculum, documenti scansionati ecc... Sotto un nuovo esempio di email vettore:


La catena di infezione
Corpo e oggetto email hanno un solo scopo: convincere l'utente ad aprire l'allegato .ZIP. All'apertura, viene mostrato un documento Word, che, ovviamente, richiede di abilitare la macro per poter visualizzare il contenuto. 


Una volta abilitata, la macro lancia ed esegue alcuni comandi PowerShell che scaricano e installano il malware downloader JasperLoader, quindi si avvia la routine di criptazione. 

La backdoor di FTCode
Come detto, il primo componente malware installato è JasperLoader, che scarica quindi altri malware sulla macchina infetta. JasperLoader è una backdoor, in dettaglio un Remote Access Trojan: rimane attivo nella macchina anche dopo la criptazione ed è una vera e propria porta aperta che l'attaccante può usare anche molto tempo dopo l'infezione per accedere al sistema in qualsiasi momento e diffondere altri malware. 


Una volta che lo script VBS è scaricato, viene configurato per eseguirsi automaticamente attraverso una task programmata, "WindowsApllicationService": viene addirittura creato un collegamento nella cartella Startup. Lo script PowerShell verificherà la presenza di un file specifico, ovvero C:\Users\Public\OracleKit\w00log03.tmp. Questo è un killswitch, un interruttore: se lo script lo individua sulla macchina, la routine di criptazione non verrà avviata. 

Se il file non esiste sulla macchina, verrà generata la chiave di criptazione, che sarà inviata al server di comando e controllo degli attaccanti. Infine lo script eseguirà alcuni comandi per cancellare le Shadow Volume Copies, il Windows backup e l'ambiente Windows Recovery per impedire il ripristino del sistema e il recupero dei file dai backup. 

Insomma, come già abbiamo scritto recentemente, ribadiamo che contro questo ransomware occorre fare molta attenzione, verificare attentamente la legittimità e veridicità di una email prima di aprirne gli allegati ed abilitarne la macro e dotarsi di un antivirus con solide funzioni anti malware e anti ransomware. 

Nessun commento:

Posta un commento