جمعه ۱۰ فروردين ۱۴۰۳ , 29 Mar 2024
جالب است ۰
نسخه جدیدی از باج‌افزار FTCode منتشر شده‌است که علاوه‌بر رمزگذاری فایل‌ها، اطلاعات احراز هویت مرورگرهای وب و برنامه‌های ایمیل را نیز سرقت می‌کند.
منبع : مرکز مدیریت راهبردی افتا
نسخه جدیدی از باج‌افزار FTCode منتشر شده‌است که علاوه‌بر رمزگذاری فایل‌ها، اطلاعات احراز هویت مرورگرهای وب و برنامه‌های ایمیل را نیز سرقت می‌کند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار FTCode یک باج‌افزار مبتنی‌بر PowerShell است که برای نخستین‌بار در سال ۲۰۱۳ مشاهده شد. با توسعه کامل FTCode در PowerShell، بدافزار می‌تواند دستگاه‌های هدف را بدون نیاز به دانلود مولفه‌های اضافی رمزگذاری کند. ضمن اینکه افزودن قابلیت‌های جدید توسط توسعه‌دهندگان آن نیز آسان شده‌است.

عملکرد جدید سرقت اطلاعات در FTCode باعث می‌شود تا قبل از رمزگذاری فایل‌های قربانیان، گذرواژه‌های ذخیره‌شده در سیستم استخراج شوند. سرقت گذرواژه از مرورگرها (Internet Explorer ،Mozilla Firefox و Google Chrome) و نرم‌افزارهای مدیریت ایمیل (Mozilla Thunderbird و Microsoft Outlook) انجام‌می‌شوند.

نحوه جمع‌آوری گذرواژه‌ها توسط این باج‌افزار به‌ازای هریک از این برنامه‌ها متفاوت است، برای Internet Explorer و Microsoft Outlook دسترسی مستقیم به رجیستری و برای Mozilla Firefox ،Mozilla Thunderbird و Google Chrome دسترسی به پوشه‌های حاوی اطلاعات احراز هویت، انجام می‌شوند.

پس از جمع‌آوری اطلاعات، نام‌های کاربری و گذرواژه‌ها به سرقت رفته با Base64 رمزگذاری شده و توسط یک درخواست POST به سرور فرمان و کنترل (C&C) ارسال می‌شوند. پژوهشگران امنیتی اعلام کرده‌اند که این قابلیت در نسخه‌های قبلی باج‌افزار وجود نداشته‌است.

باج‌‎افزار FTCode از طریق ایمیل‌های اسپم حاوی اسناد Word مخرب، تحت عناوین صورت‌حساب‌های مالی، اسکن اسناد و رزومه افراد، به رایانه قربانی منتقل می‌شود. باج‌افزار سپس دانلودکننده بدافزار JasperLoader را منتقل کرده و دستگاه را رمزگذاری می‌کند.

باج‌افزار در ادامه محیط بازیابی ویندوز را غیرفعال می‌کند، همچنین کپی‌های Shadow Volume و فایل‌های پشتیبان را نیز حذف می‌کند تا بازیابی اطلاعات بدون پرداخت باج غیرممکن شود. پس از رمزگذاری پسوند FTCODE به فایل‌ها اضافه می‌شوند.
کد مطلب : 16273
https://aftana.ir/vdcipraz.t1aqy2bcct.html
ارسال نظر
نام شما
آدرس ايميل شما
کد امنيتی