.
اخبار امنیت اطلاعات

سرقت گذرواژه‌ها، قابلیت جدید باج‌افزار FTCode

1398/11/14 دوشنبه
نحوه جمع‌آوری گذرواژه‌ها توسط این باج‌افزار به ازای هریک از این برنامه‌ها متفاوت است، برای Internet Explorer و Microsoft Outlook دسترسی مستقیم به رجیستری و برای Mozilla Firefox، Mozilla Thunderbird و Google Chrome دسترسی به پوشه‌های حاوی اطلاعات احرازهویت، انجام می‌شوند.

نسخه جدیدی از باج‌افزار FTCode منتشر شده است که علاوه بر رمزگذاری فایل‌ها، اطلاعات احرازهویت مرورگرهای وب و برنامه‌های ایمیل را نیز سرقت می‌کند.
به گزارش معاونت بررسی مرکز افتا، به نقل از پایگاه اینترنتی BleepingComputer، بدافزار FTCode یک باج‌افزار مبتنی بر PowerShell است که برای اولین بار در سال 2013 مشاهده شد. با توسعه کامل FTCode در PowerShell، بدافزار می‌تواند دستگاه‌های هدف را بدون نیاز به دانلود مولفه‌های اضافی رمزگذاری کند. ضمن اینکه افزودن قابلیت‌های جدید توسط توسعه‌دهندگان آن نیز آسان شده است.
عملکرد جدید سرقت اطلاعات در FTCode باعث می‌شود تا قبل از رمزگذاری فایل‌های قربانیان، گذرواژه‌های ذخیره شده در سیستم استخراج شوند. سرقت گذرواژه از مرورگرها (Internet Explorer، Mozilla Firefox و Google Chrome) و نرم‌افزارهای مدیریت ایمیل (Mozilla Thunderbird و Microsoft Outlook) انجام می‌شوند.
نحوه جمع‌آوری گذرواژه‌ها توسط این باج‌افزار به ازای هریک از این برنامه‌ها متفاوت است، برای Internet Explorer و Microsoft Outlook دسترسی مستقیم به رجیستری و برای Mozilla Firefox، Mozilla Thunderbird و Google Chrome دسترسی به پوشه‌های حاوی اطلاعات احرازهویت، انجام می‌شوند.
پس از جمع‌آوری اطلاعات، نام‌های کاربری و گذرواژه‌ها به سرقت رفته با Base64 رمزگذاری شده و توسط یک درخواست POST به سرور فرمان و کنترل ارسال می‌شوند. پژوهشگران امنیتی اعلام کرده‌اند که این قابلیت در نسخه‌های قبلی باج‌افزار وجود نداشته است.
باج‌‎افزار FTCode از طریق ایمیل‌های اسپم حاوی اسناد Word مخرب، تحت عناوین صورت‌حساب‌های مالی، اسکن اسناد و رزومه افراد، به رایانه قربانی منتقل می‌شود. باج‌افزار سپس دانلودکننده بدافزار JasperLoader را منتقل کرده و دستگاه را رمزگذاری می‌کند.عملیات رمزگذاری فایل‌ها تا قبل از کسب پایداری در سیستم قربانی آغاز نمی‌شود که این کار از طریق ایجاد یک فعالیت زمانبندی شده انجام می‌گیرد.
باج‌افزار در ادامه محیط بازیابی ویندوز را غیرفعال می‌کند، همچنین کپی‌های Shadow Volume و فایل‌های پشتیبان را نیز حذف می‌کند تا بازیابی اطلاعات بدون پرداخت باج غیرممکن شود. پس از رمزگذاری پسوند FTCODE به فایل‌ها اضافه می‌شوند.
 

منبع :


مشاهده همه اخبار
نسخه قابل چاپ
درگاه ها و پورتال ها ی معتبر
.
آخرین رویدادها