👃🏿 🚣🏻 🍨 El ransomware sin archivos FTCODE ahora roba cuentas 👔 🐰 🏇🏿

En 2013, Sophos informó casos de infección con un virus ransomware escrito en PowerShell. El ataque estaba dirigido a usuarios de Rusia. Después de cifrar los archivos, se les agregó la extensión .FTCODE, que dio el nombre al ransomware. El código malicioso se distribuyó durante el proceso de envío de correo no deseado, dentro del archivo HTA adjunto al mensaje. Después del cifrado, el ransomware dejó instrucciones en ruso sobre cómo hacer un rescate y descifrar los archivos.

Unos años más tarde, en el otoño de 2019, aparecieron nuevas menciones de infección con este ransomware. Los atacantes llevaron a cabo una campaña de phishing dirigida a los usuarios del servicio de correo electrónico certificado PEC utilizado en Italia y otros países. Las víctimas recibieron un correo electrónico con un documento adjunto. Dentro del documento había una macro que descargaba código malicioso. Además del cifrado, el ransomware instaló un gestor de arranque JasperLoader. Este troyano se puede usar para entregar varios malware. Por ejemplo, se conocen casos de descarga de una víctima de un troyano bancario Gootkit en una computadora .

A mediados de octubre, apareció una versión de ransomware, complementada con funciones para robar cuentas de usuario y contraseñas de la computadora de la víctima. Se extraen de navegadores populares y clientes de correo electrónico instalados con la configuración predeterminada.

PowerShell a menudo se usa para desarrollar malware, porque el intérprete de este lenguaje está incluido de manera predeterminada en el sistema operativo Windows desde la séptima versión. Además, PowerShell permite que se ejecute código malicioso sin guardarlo en un archivo en la computadora de la víctima. Positive Technologies tiene una entrada de seminario web sobre estas amenazas.

Entrega de carga útil

Primero, se nuove_tariffe_2020_8_af11773ee02ec47fd5291895f25948e7.vbs script nuove_tariffe_2020_8_af11773ee02ec47fd5291895f25948e7.vbs , que inicia el proceso del intérprete de PowerShell.

Figura 1. Descarga de carga útil

El intérprete recibe una línea con los comandos que descargan la imagen hxxps://static[.]nexilia[.]it/nextquotidiano/2019/01/autostrade-aumenti-tariffe-2019[.]jpg (Figura 2) y la guarda como tarifa. jpg en el directorio de archivos temporales.

Figura 2. La imagen tariffe.jpg utilizada para distraer la atención del usuario

Luego se abre esta imagen y, al mismo tiempo, se descarga el ransomware Invoke Expression de Internet, sin grabar en el disco. A diferencia de casos anteriores de infección, ahora el cuerpo del malware se codifica mediante el algoritmo Base64. El dominio "band [.] Positivelifeology [.] Com" (Figura 3), así como "mobi [.] Confessyoursins [.] Mobi" se utilizan para entregar la carga útil.

Figura 3. Fragmento de tráfico con código de ransomware

Robo de credenciales de usuario

Como ya se señaló, la nueva versión del ransomware tiene un módulo para robar cuentas de usuario y contraseñas de navegadores populares y clientes de correo electrónico, es decir, de Internet Explorer, Mozilla Firefox, Chrome, Outlook y Mozilla Thunderbird.

Primero, el comando start chooseArch se envía al servidor atacante con el dominio surv [.] Surviveandthriveparenting [.] Com utilizando la solicitud POST del protocolo HTTP.

Figura 4. Señal sobre el comienzo de la ejecución del módulo para el robo de identidad

El tráfico generado en esta etapa se caracteriza por una línea de la forma guid = temp_dddddddddddd, seguida de comandos o datos robados (Figura 5). Esta línea contiene una guía única para cada muestra de ransomware.

Figura 5. Código utilizado por el styler para la comunicación de red.

Luego se extraen los nombres de usuario y las contraseñas de la víctima, se codifican mediante el algoritmo base64 y se envían a los atacantes.

Figura 6. Código para enviar cuentas de usuario

El siguiente es un fragmento de tráfico que contiene los datos robados enviados por la solicitud HTTP POST.

Figura 7. Datos de robo

Después de que se envían las credenciales, el stiller, utilizando la solicitud POST del protocolo HTTP, señala la finalización de su trabajo.

Figura 8. Señal de robo de datos exitoso

Instale el gestor de arranque JasperLoader

La nueva versión del ransomware aún descarga e instala el gestor de arranque JasperLoader (Figura 9), que se puede usar para distribuir varios programas maliciosos.

Figura 9. Fragmento de tráfico con código JasperLoader

El gestor de arranque descargado se guarda en el archivo C: \ Users \ Public \ Libraries \ WindowsIndexingService.vbs y se agrega a las tareas programadas de Windows como WindowsApplicationService y al inicio utilizando WindowsApplicationService.lnk.

Figura 10. Instalación del gestor de arranque

Cifrado de datos

Además de robar credenciales de usuario e instalar un gestor de arranque, FTCODE cifra los archivos en la computadora de la víctima. Esta etapa comienza con la preparación del medio ambiente. El ransomware utiliza el archivo C: \ Users \ Public \ OracleKit \ quanto00.tmp para almacenar la hora en que se ejecutó por última vez. Por lo tanto, se verifica la presencia de este archivo en el sistema y su tiempo de creación. Si el archivo existe en el sistema y han pasado 30 minutos o menos desde que se creó, el proceso finaliza (Figura 11). Este hecho puede usarse como vacuna.

Figura 11. Comprobación del tiempo transcurrido desde el último lanzamiento del ransomware

Luego, desde el archivo C: \ Users \ Public \ OracleKit \ w00log03.tmp, se lee el identificador, o se crea uno nuevo si falta el archivo.

Figura 12. Preparación de la identificación de la víctima

Figura 13. Identificación de la víctima

El ransomware genera información clave para el cifrado de archivos adicional.

Figura 14. Generando información clave para el cifrado

Como puede ver en el código, la información necesaria para recuperar los datos de la víctima se envía mediante la solicitud POST del protocolo HTTP al nodo con el dominio food [.] Kkphd [.] Com.

Figura 15. La función de enviar información clave para el cifrado (descifrado)

En consecuencia, si logra interceptar el tráfico que contiene la sal para encriptar los archivos de la víctima, puede recuperar todos los archivos de forma independiente sin transferir dinero a los atacantes.

Figura 16. Información clave interceptada

Para el cifrado, el algoritmo de Rijndael se usa en modo CBC con un vector de inicialización basado en la línea BXCODE INIT y una clave obtenida del BXCODE piratea la contraseña de su sistema y la sal que se generó previamente.

Figura 17. Función de cifrado

Justo antes del inicio del cifrado de archivos, la señal de "inicio" se envía en la solicitud POST del protocolo HTTP. Durante el proceso de encriptación, si el tamaño del contenido del archivo fuente excede los 40,960 bytes, el archivo se trunca a este tamaño. Se agrega una extensión a los archivos, pero no .FTCODE, como en versiones anteriores del ransomware, sino una que se generó aleatoriamente antes y que se envió al servidor atacante como el valor del parámetro ext.

Figura 18. Archivos cifrados

Y después de que la solicitud POST del protocolo HTTP se envíe con una señal de "hecho" y el número de archivos cifrados.

Figura 19. El código principal del encriptador

Lista completa de extensiones de archivo que están encriptadas en la computadora de la víctima:

"* .sql"	"* .mp4"	"* .7z"	"* .rar"	"* .m4a"	"* .wma"
"* .avi"	"* .wmv"	"* .csv"	"* .d3dbsp"	"* .zip"	"* .sie"
"* .sum"	"* .ibank"	"* .t13"	"* .t12"	"* .qdf"	"* .gdb"
"* .tax"	"* .pkpass"	"* .bc6"	"* .bc7"	"* .bkp"	"* .qic"
"* .bkf"	"* .sidn"	"* .sidd"	"* .mddata"	"* .itl"	"* .itdb"
"* .icxs"	"* .hvpl"	"* .hplg"	"* .hkdb"	"* .mdbackup"	"* .syncdb"
"* .gho"	"* .cas"	"* .svg"	"* .map"	"* .wmo"	"* .itm"
"* .sb"	"* .fos"	"* .mov"	"* .vdf"	"* .ztmp"	"* .sis"
"* .sid"	"* .ncf"	"* .menu"	"* .layout"	"* .dmp"	"* .blob"
"* .esm"	"* .vcf"	"* .vtf"	"* .dazip"	"* .fpk"	"* .mlx"
"* .kf"	"* .iwd"	"* .vpk"	"* .tor"	"* .psk"	"* .rim"
"* .w3x"	"* .fsh"	"* .ntl"	"* .arch00"	"* .lvl"	"* .snx"
"* .cfr"	"* .ff"	"* .vpp_pc"	"* .lrf"	"* .m2"	"* .mcmeta"
"* .vfs0"	"* .mpqge"	"* .kdb"	"* .db0"	"* .dba"	"* .rofl"
"* .hkx"	"* .bar"	"* .upk"	"* .das"	"* .iwi"	"* .litemod"
"* .asset"	"* .forge"	"* .ltx"	"* .bsa"	"* .apk"	"* .re4"
"* .sav"	"* .lbf"	"* .slm"	"* .bik"	"* .epk"	"* .rgss3a"
"* .pak"	"* .big"	"* billetera"	"* .wotreplay"	"* .xxx"	"* .desc"
"* .py"	"* .m3u"	"* .flv"	"* .js"	"* .css"	"* .rb"
"* .png"	"* .jpeg"	"* .txt"	"* .p7c"	"* .p7b"	"* .p12"
"* .pfx"	"* .pem"	"* .crt"	"* .cer"	"* .der"	"* .x3f"
"* .srw"	"* .pef"	"* .ptx"	"* .r3d"	"* .rw2"	"* .rwl"
"* .raw"	"* .raf"	"* .orf"	"* .nrw"	"* .mrwref"	"* .mef"
"* .erf"	"* .kdc"	"* .dcr"	"* .cr2"	"* .crw"	"* .bay"
"* .sr2"	"* .srf"	"* .arw"	"* .3fr"	"* .dng"	"* .jpe"
"* .jpg"	"* .cdr"	"* .indd"	"* .ai"	"* .eps"	"* .pdf"
"* .pdd"	"* .psd"	"* .dbf"	"* .mdf"	"* .wb2"	"* .rtf"
"* .wpd"	"* .dxg"	"* .xf"	"* .dwg"	"* .pst"	"* .accdb"
"* .mdb"	"* .pptm"	"* .pptx"	"* .ppt"	"* .xlk"	"* .xlsb"
"* .xlsm"	"* .xlsx"	"* .xls"	"* .wps"	"* .docm"	"* .docx"
"* .doc"	"* .odb"	"* .odc"	"* .odm"	"* .odp"	"* .ods"
"* .odt"

Después de cifrar los archivos, el archivo de texto READ_ME_NOW.htm se crea en la computadora de la víctima, lo que explica lo que se debe hacer para restaurar el contenido de los archivos.

Figura 20. Atacar a un atacante

Como puede ver, para cada víctima se crea un enlace único que contiene el identificador del archivo C: \ Users \ Public \ OracleKit \ w00log03.tmp, y si está dañado o eliminado, existe el riesgo de no recuperar los datos cifrados. Un enlace con un formulario para descifrar archivos y requerir un rescate está disponible en este enlace en el navegador Tor. La recompra inicial es de $ 500 y aumenta con el tiempo.

Figura 21. Solicitud de canje

Apagado

Una vez que los archivos de la víctima están encriptados, FTCODE elimina los datos que podrían usarse para recuperar los archivos encriptados.

Figura 22. Eliminar datos

Conclusión

Este malware consiste en un gestor de arranque en forma de código VBS y una carga útil en forma de código de PowerShell. Se usa una imagen JPEG para enmascarar la infección. Las funciones del malware están instalando el conocido gestor de arranque JasperLoader y encriptando los archivos de la víctima para el rescate, así como robando todas las cuentas y contraseñas de los navegadores populares y clientes de correo electrónico.
El sistema de análisis de tráfico de red PT NAD detecta la amenaza considerada como FTCODE.

Además, PT NAD almacena el tráfico de red, lo que ayudará a descifrar los archivos de las víctimas de este ransomware.

COI

6bac6d1650d79c19d2326719950017a8
bf4b8926c121c228aff646b258a4541e
banda [.] positivelifeology [.] com
mobi [.] confessyoursins [.] mobi
surv [.] survivalandthriveparenting [.] com
comida [.] kkphd [.] com

Publicado por Dmitry Makarov, Tecnologías positivas

El ransomware sin archivos FTCODE ahora roba cuentas