سرقت گذرواژه‌ها، قابلیت جدید باج‌افزار FTCode

باج‌‎افزار FTCode از طریق ایمیل‌های اسپم حاوی اسناد Word مخرب، تحت عناوین صورت‌حساب‌های مالی، اسکن اسناد و رزومه افراد، به رایانه قربانی منتقل می‌شود.

باج‌افزار سپس دانلودکننده بدافزار JasperLoader را منتقل کرده و دستگاه را رمزگذاری می‌کند. باج‌افزار در ادامه، محیط بازیابی ویندوز را غیرفعال می‌کند، همچنین کپی‌های Shadow Volume و فایل‌های پشتیبان را نیز حذف می‌کند تا بازیابی اطلاعات بدون پرداخت باج غیرممکن شود.

پس از رمزگذاری، باج افزار پسوند FTCODE را به فایل‌ها اضافه می‌کند. بدافزار می‌تواند دستگاه‌های هدف را بدون نیاز به دانلود مولفه‌های اضافی رمزگذاری کند.عملکرد جدید سرقت اطلاعات در FTCode باعث می‌شود تا قبل از رمزگذاری فایل‌های قربانیان، گذرواژه‌های ذخیره شده در سیستم استخراج شوند.

پایگاه اینترنتی BleepingComputer، نوشته است: نحوه جمع‌آوری گذرواژه‌ها توسط این باج‌افزار به ازای هریک از مرورگرها و یا نرم‌افزارهای مدیریت ایمیل متفاوت است، برای Internet Explorer و Microsoft Outlook دسترسی مستقیم به رجیستری و برای Mozilla Firefox، Mozilla Thunderbird و Google Chrome دسترسی به پوشه‌های حاوی اطلاعات احرازهویت، انجام می‌شوند.

پس از جمع‌آوری اطلاعات، نام‌های کاربری و گذرواژه‌ها به سرقت رفته با Base۶۴ رمزگذاری شده و توسط یک درخواست POST به سرور فرمان و کنترل (C&C) ارسال می‌شوند.

کارشناسان معاونت بررسی مرکز مدیریت افتا از کاربران خواسته اند تا از باز کردن ایمیل‌های اسپم حاوی اسناد Word، تحت عناوین صورت‌حساب‌های مالی، اسکن اسناد و یا رزومه افراد خودداری کنند تا گرفتار باج‌افزار FTCode نشوند.

No tags for this post.