Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Opisi virusa, 22.01.2020, 02:30 AM

Nova verzija ransomwarea FTCode krade lozinke iz Chromea i Firefoxa

Istraživači kompanije Zscaler otkrili su novu verziju FTCode ransomwarea, koja je detektovana kao 1117.1, za koju kažu da može da krade lozinke.

FTCode je ransomware koga su prvi primetili istraživači kompanije Sophos još 2013. godine, a malver se ponovo pojavio krajem septembra prošle godine u spam emailovima koji su stizali na email adrese italijanskih korisnika.

Analiza koju je sproveo tim ThreatLabZa kompanije Zscaler otkriva da napadači za širenje ransomwarea koriste emailove. Emailovi sadrže zaražene Word dokumente koji izgledaju kao računi, skenirani dokumenti i biografije, koji inficiraju uređaj JasperLoader downloaderom.

Malver kreira prečicu WindowsIndexingService.lnk u Windows startup folderu. Pored toga, kreira planirani zadatak koji se zove WindowsApplicationService. I prečica i planirani zadatak pokreću zlonamernu skriptu WindowsIndexingService.vbs.

Pre nego što započne šifrovanje fajlova FTCode će potražiti w00log03.tmp fajl i ako ga ne nađe, generisaće enkripcijski ključ koji šalje serveru koji je pod kontrolom napadača. Ključ tada može biti “uhvaćen” i zatim kasnije iskorišćen sa dekripterom koji je srećom dostupan.

U sledećoj fazi ransomware briše Shadow Volume kopije i Windows rezervne kopije zbog čega je vraćanje fajlova posle toga nemoguće bez plaćanja otkupnine od 500 dolara koliko traže napadači.

Ransomware šifruje niz fajlova i ubacuje poruku o otkupnini „READ_ME_NOW.htm“ u root folder.

Korisnici se upućuju da preuzmu TOR pregledač i otvore link za stranicu na kojoj treba da plate ključ za dešifrovanje koji im omogućava da dešifruju svoje fajlove.

FTCode dodaje svakom šifrovanom fajlu ekstenziju .FTCODE, i „READ_ME_NOW.htm“ fajl u svaki folder.

Pored šifrovanja fajlova, ransomware takođe krade lozinke iz najpopularnijih pregledača i email klijenata, uključujući Internet Explorer, Mozilla Firefox, Google Chrome, Mozilla Thunderbird i Microsoft Outlook. Ransomware može skenirati podrazumevane lokacije na kojima ove aplikacije čuvaju poverljive podatke, izvlači ih i šalje C&C serveru.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Novi malver ChromeLoader menja podešavanja Chromea i Safarija

Novi malver ChromeLoader menja podešavanja Chromea i Safarija

ChromeLoader je “prodoran i uporan otmičar pregledača” koji može da izmeni podešavanja veb pregledača žrtava da bi prikazao rezultat... Dalje

Lažni sajtovi nude Windows 11, ali umesto toga dobijate malver

Lažni sajtovi nude Windows 11, ali umesto toga dobijate malver

Istraživači iz firme za sajber bezbednost Zscaler upozorili su na fišing sajtove koji nude lažne instalacione programe za Windows 11 a zapravo inf... Dalje

Lažna Windows 11 nadogradnja krije opasni malver koji krade lozinke

Lažna Windows 11 nadogradnja krije opasni malver koji krade lozinke

Istraživači iz CloudSEK-a upozorili su na lažnu Windows 11 nadogradnju koja krije malver koji krade podatke iz veb pregledača i novčanika kriptov... Dalje

Gejmeri su meta novog opasnog malvera

Gejmeri su meta novog opasnog malvera

Novi malver dizajniran za krađu podataka dodat je portfoliju grupe Haskers Gang. Istraživači iz Cisco Talosa kažu da se malver, nazvan ZingoSteale... Dalje

Novi malver krade Facebook, Instagram i Twitter naloge

Novi malver krade Facebook, Instagram i Twitter naloge

Nalozi na društvenim mrežama, posebno oni verifikovani, su privlačna meta za hakere jer ih mogu koristiti za razne zlonamerne aktivnosti, uključuj... Dalje