FTcode è un ransomware individuato per la prima volta nel 2013, ma tornato in diffusione soltanto tra Settembre e Ottobre del 2019 dopo anni di silenzio. Ne avevamo parlato qui, perchè il Cert-PA aveva individuato una campagna di email di spam che distribuiva il payload del ransomware soltanto contro utenti italiani.
Parliamo di un ransomware già molto insidioso completamente sviluppato in PowerShell, che non necessità di scaricare alcun componente aggiuntivo per criptare i dispositivi ma che può anche essere facilmente modificato dai suoi sviluppatori per aggiungere nuove funzionalità . Ed è successo proprio questo. Ecco le novità.
Nuova versione ruba le credenziali salvate
E' stata individuata, già in diffusione, una nuova versione di FTcode che mostra l'aggiunta di una nuova componente dannosa: parliamo di una funzionalità di furto dati che consente al malware di raccogliere ed esfiltrare le credenziali di login salvate sulla macchina bersaglio prima dell'avvio del meccanismo di criptazione.
Detto in parole povere, FTcode adesso ruba e trasmette ai propri sviluppatori le credenziali salvate sia sui browser - Internet Explorer, Mozilla Firefox e Google Chrome - sia nei client email come Mozilla Thundebird e Microsoft Outlook. Il meccanismo di raccolta delle credenziali è differenziato tra le 5 applicazioni: nel caso di Internet Explorer e Microsoft Outlook i ricercatori hanno visto un accesso diretto alle chiavi di registro, mentre nel caso di Firefox, Thunderbird e Google Chrome si è visto come il malware "aggredisca" direttamente le cartelle dove queste app salvano le credenziali. Una volta raccolte le informazioni, FTcode le invia ai propri operatori usando richieste POST verso il proprio server di comando e controllo: username e password sono inviate criptate in Base64.
E' la prima volta che viene individuato un simile comportamento da parte di una versione della famiglia di ransomware FTcode, una novità assoluta.
Il ritorno sulle scene
Come detto, FTcode fu individuato nel lontano 2013 ad opera dei ricercatori di Sophos, poi cadde in disuso: molto probabilmente però è stato "ripescato" dal cimitero dei ransomware perchè PowerShell è integrato di default su tutti i dispositivi che eseguono almeno Windows 7 o Windows Server 2008 R2. Insomma, il numero delle possibili vittime è sufficientemente appetitoso per gli attaccanti.
Nelle ultime campagne individuate, era veicolato tramite email di spam contenenti allegati dannosi Word camuffati da fatture, scansioni di documenti importanti ecc..e distribuito in coppia col downloader JasperLoader.
Come cripta i file: alcune indicazioni tecniche
La criptazione non si avvia finché il malware non ottiene la persistenza sul sistema aggiungendo una operazione pianificata e un collegamento nella cartella di Startup. Eseguite queste operazioni FTcode esegue una verifica in cerca del file C:\Users\Public\OracleKit\w00log03.tmp che agisce nei fatti come un "killswitch" un interruttore.
Se il file non viene trovato sulla macchina bersaglio, FTcode genera una chiave di criptazione e la invia al server C&C. Subito dopo disabilita l'ambiente di recupero di Windows e cancella tutte le Shadow Volume Copies e i backup di Windows così da rendere impossibile il recupero dei file senza pagare il riscatto. Quindi avvia la criptazione, al termine della quale l'estensione dei file criptati viene modificata in .FTCODE. Subito dopo, la nota di riscatto READ_ME_NOW.htm viene salvata in ogni cartella contenente file criptati.
Se il file non viene trovato sulla macchina bersaglio, FTcode genera una chiave di criptazione e la invia al server C&C. Subito dopo disabilita l'ambiente di recupero di Windows e cancella tutte le Shadow Volume Copies e i backup di Windows così da rendere impossibile il recupero dei file senza pagare il riscatto. Quindi avvia la criptazione, al termine della quale l'estensione dei file criptati viene modificata in .FTCODE. Subito dopo, la nota di riscatto READ_ME_NOW.htm viene salvata in ogni cartella contenente file criptati.
 |
| Fonte: bleepingcomputer.com |
Ad ora viene richiesto un riscatto di circa 500 dollari U.S.A, ma sono già centinaia le testimonianze di utenti che, pur avendo pagato il riscatto, affermano di non aver ricevuto alcun decryptor dagli attaccanti.
Nessun commento:
Posta un commento