نسخه جدیدی از باجافزار FTCode منتشر شدهاست که علاوهبر رمزگذاری فایلها، اطلاعات احراز هویت مرورگرهای وب و برنامههای ایمیل را نیز سرقت میکند.
منبع : مرکز مدیریت راهبردی افتا
نسخه جدیدی از باجافزار FTCode منتشر شدهاست که علاوهبر رمزگذاری فایلها، اطلاعات احراز هویت مرورگرهای وب و برنامههای ایمیل را نیز سرقت میکند.
به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار FTCode یک باجافزار مبتنیبر PowerShell است که برای نخستینبار در سال ۲۰۱۳ مشاهده شد. با توسعه کامل FTCode در PowerShell، بدافزار میتواند دستگاههای هدف را بدون نیاز به دانلود مولفههای اضافی رمزگذاری کند. ضمن اینکه افزودن قابلیتهای جدید توسط توسعهدهندگان آن نیز آسان شدهاست.
عملکرد جدید سرقت اطلاعات در FTCode باعث میشود تا قبل از رمزگذاری فایلهای قربانیان، گذرواژههای ذخیرهشده در سیستم استخراج شوند. سرقت گذرواژه از مرورگرها (Internet Explorer ،Mozilla Firefox و Google Chrome) و نرمافزارهای مدیریت ایمیل (Mozilla Thunderbird و Microsoft Outlook) انجاممیشوند.
نحوه جمعآوری گذرواژهها توسط این باجافزار بهازای هریک از این برنامهها متفاوت است، برای Internet Explorer و Microsoft Outlook دسترسی مستقیم به رجیستری و برای Mozilla Firefox ،Mozilla Thunderbird و Google Chrome دسترسی به پوشههای حاوی اطلاعات احراز هویت، انجام میشوند.
پس از جمعآوری اطلاعات، نامهای کاربری و گذرواژهها به سرقت رفته با Base64 رمزگذاری شده و توسط یک درخواست POST به سرور فرمان و کنترل (C&C) ارسال میشوند. پژوهشگران امنیتی اعلام کردهاند که این قابلیت در نسخههای قبلی باجافزار وجود نداشتهاست.
باجافزار FTCode از طریق ایمیلهای اسپم حاوی اسناد Word مخرب، تحت عناوین صورتحسابهای مالی، اسکن اسناد و رزومه افراد، به رایانه قربانی منتقل میشود. باجافزار سپس دانلودکننده بدافزار JasperLoader را منتقل کرده و دستگاه را رمزگذاری میکند.
باجافزار در ادامه محیط بازیابی ویندوز را غیرفعال میکند، همچنین کپیهای Shadow Volume و فایلهای پشتیبان را نیز حذف میکند تا بازیابی اطلاعات بدون پرداخت باج غیرممکن شود. پس از رمزگذاری پسوند FTCODE به فایلها اضافه میشوند.