💠 🗒️ 🤳🏼 FTCODE fileless ransomware يسرق الآن الحسابات 💛 🤞 🎅🏻

في عام 2013 ، أبلغت Sophos عن حالات إصابة بفيروس Ransomware مكتوب في PowerShell. كان الهجوم يستهدف مستخدمين من روسيا. بعد تشفير الملفات ، تمت إضافة ملحق .FTCODE إليهم ، والذي أعطى الاسم إلى رانسومواري. تم نشر الشفرة الضارة أثناء البريد العشوائي داخل ملف HTA المرفق برسالة بريد إلكتروني. بعد التشفير ، تركت الفدية تعليمات باللغة الروسية حول كيفية عمل فدية وفك تشفير الملفات.

بعد سنوات قليلة ، في خريف عام 2019 ، ظهرت إشارات جديدة للإصابة بهذا الفدية. قام المهاجمون بحملة تصيد تستهدف مستخدمي خدمة البريد الإلكتروني المعتمدة من PEC المستخدمة في إيطاليا وبلدان أخرى. تلقى الضحايا رسالة بريد إلكتروني مع وثيقة مرفقة. كان داخل المستند ماكرو قام بتنزيل التعليمات البرمجية الضارة. بالإضافة إلى التشفير ، قام برنامج الفدية بتثبيت أداة تحميل JasperLoader. هذا طروادة يمكن استخدامها لتقديم مختلف البرامج الضارة. على سبيل المثال ، هناك حالات معروفة من تنزيل ضحية لأحد طروادة Gootkit المصرفية على جهاز كمبيوتر .

في منتصف أكتوبر ، ظهرت نسخة من فدية ، مع استكمالها بوظائف لسرقة حسابات المستخدمين وكلمات المرور من كمبيوتر الضحية. يتم استخراجها من المتصفحات الشعبية وعملاء البريد الإلكتروني المثبتة مع الإعدادات الافتراضية.

غالبًا ما يستخدم PowerShell لتطوير البرامج الضارة ، لأن مترجم هذه اللغة يتم تضمينه افتراضيًا في نظام التشغيل Windows منذ الإصدار السابع. بالإضافة إلى ذلك ، يسمح PowerShell بتنفيذ تعليمات برمجية ضارة دون حفظها في ملف على كمبيوتر الضحية. إيجابي تكنولوجيز لديه دخول ندوة على هذه التهديدات.

تسليم الحمولة الصافية

أولاً ، يتم nuove_tariffe_2020_8_af11773ee02ec47fd5291895f25948e7.vbs البرنامج النصي nuove_tariffe_2020_8_af11773ee02ec47fd5291895f25948e7.vbs ، والذي يبدأ عملية مترجم PowerShell.

الشكل 1. تحميل الحمولة

يتم إعطاء المترجم خطًا مع الأوامر التي تقوم بتنزيل الصورة hxxps://static[.]nexilia[.]it/nextquotidiano/2019/01/autostrade-aumenti-tariffe-2019[.]jpg JPG في دليل الملفات المؤقتة.

الشكل 2. صورة tariffe.jpg تستخدم لصرف انتباه المستخدم

بعد ذلك ، يتم فتح هذه الصورة ، وفي نفس الوقت يتم تنزيل Ransomware Invoke Expression من الإنترنت ، دون الحاجة إلى النسخ على القرص. على عكس الحالات السابقة للإصابة ، ينتشر الآن نص البرمجيات الخبيثة المشفرة باستخدام خوارزمية Base64. لتسليم الحمولة ، يتم استخدام النطاق "band [.] Positivelifeology [.] Com" (الشكل 3) ، وكذلك "mobi [.] Confessyoursins [.] Mobi".

الشكل 3. جزء المرور مع رمز الفدية

سرقة بيانات اعتماد المستخدم

كما ذكرنا سابقًا ، يحتوي الإصدار الجديد من رانسومواري على وحدة لسرقة حسابات المستخدمين وكلمات المرور من المتصفحات الشعبية وعملاء البريد الإلكتروني ، أي من Internet Explorer و Mozilla Firefox و Chrome و Outlook و Mozilla Thunderbird.

أولاً ، يتم إرسال الأمر start selectArch إلى خادم المهاجم مع بقاء [.] Surviveandthriveparenting [.] مجال Com باستخدام طلب HTTP POST.

الشكل 4. إشارة حول بداية تنفيذ وحدة لسرقة الهوية

تتميز حركة المرور الناتجة في هذه المرحلة بسطر النموذج guid = temp_dddddddddddd ، متبوعًا بالأوامر أو البيانات المسروقة (الشكل 5). يحتوي هذا الخط على دليل فريد لكل عينة من فدية الفدية.

الشكل 5. رمز المستخدمة من قبل الطراز للاتصال بالشبكة

ثم يتم استخراج أسماء المستخدمين وكلمات المرور الخاصة بالضحية ، ويتم ترميزها بواسطة خوارزمية base64 وإرسالها إلى المهاجمين.

الشكل 6. رمز لإرسال حسابات المستخدمين

فيما يلي مقتطف من حركة المرور التي تحتوي على البيانات المسروقة المرسلة بواسطة طلب HTTP POST.

الشكل 7. سرقة البيانات

بعد أن يتم إرسال بيانات الاعتماد ، يشير الجزء المتبقي ، باستخدام طلب POST لبروتوكول HTTP ، إلى اكتمال عمله.

الشكل 8. إشارة سرقة البيانات الناجحة

تثبيت محمل الإقلاع JasperLoader

لا يزال الإصدار الجديد من رانسومواري يقوم بتنزيل وتثبيت أداة تحميل التشغيل JasperLoader (الشكل 9) ، والتي يمكن استخدامها لتوزيع البرامج الضارة المختلفة.

الشكل 9. مقتطف المرور مع رمز JasperLoader

يتم حفظ أداة تحميل التشغيل التي تم تنزيلها في الملف C: \ Users \ Public \ Libraries \ WindowsIndexingService.vbs وإضافته إلى مهام Windows المجدولة مثل WindowsApplicationService وبدء التشغيل باستخدام WindowsApplicationService.lnk.

الشكل 10. تثبيت محمل الإقلاع

تشفير البيانات

بالإضافة إلى سرقة بيانات اعتماد المستخدم وتثبيت أداة تحميل الإقلاع ، يقوم FTCODE بتشفير الملفات على كمبيوتر الضحية. تبدأ هذه المرحلة بإعداد البيئة. يستخدم Ransomware الملف C: \ Users \ Public \ OracleKit \ quanto00.tmp لتخزين وقت تشغيله الأخير. لذلك ، يتم التحقق من وجود هذا الملف في النظام ووقت إنشائه. إذا كان الملف موجودًا في النظام ومرت 30 دقيقة أو أقل منذ إنشاء الملف ، فستنتهي العملية (الشكل 11). هذه الحقيقة يمكن استخدامها كقاح.

الشكل 11. التحقق من الوقت منذ إطلاق آخر رانسومواري

ثم من الملف C: \ Users \ Public \ OracleKit \ w00log03.tmp يتم قراءة المعرف - أو يتم إنشاء معرف جديد إذا كان الملف مفقودًا.

الشكل 12. إعداد هوية الضحية

الشكل 13. هوية الضحية

ثم يقوم برنامج Ransomware بإنشاء معلومات أساسية لمزيد من تشفير الملفات.

الشكل 14. توليد معلومات أساسية للتشفير

كما ترون من الكود ، يتم إرسال المعلومات الضرورية لاستعادة بيانات الضحية من خلال طلب POST من بروتوكول HTTP إلى العقدة مع المجال الغذائي [.] Kkphd [.] Com.

الشكل 15. وظيفة إرسال المعلومات الأساسية للتشفير (فك التشفير)

وفقًا لذلك ، إذا تمكنت من اعتراض حركة المرور التي تحتوي على الملح لتشفير ملفات الضحية ، فيمكنك استرداد جميع الملفات بنفسك دون تحويل الأموال إلى المهاجمين.

الشكل 16. اعتراض المعلومات الرئيسية

بالنسبة للتشفير ، يتم استخدام خوارزمية Rijndael في وضع CBC مع متجه تهيئة يستند إلى سلسلة BXCODE INIT ومفتاح تم الحصول عليه من BXCODE يخترق كلمة مرور النظام والملح الذي تم إنشاؤه مسبقًا.

الشكل 17. وظيفة التشفير

قبل بدء تشفير الملفات مباشرةً ، يتم إرسال إشارة "البدء" في طلب POST لبروتوكول HTTP. أثناء عملية التشفير ، إذا تجاوز حجم محتويات الملف المصدر 40960 بايت ، يتم اقتطاع الملف إلى هذا الحجم. تتم إضافة ملحق إلى الملفات ، ولكن ليس .FTCODE ، كما في الإصدارات السابقة من Ransomware ، ولكن تم إنشاؤه عشوائيًا في وقت سابق والذي تم إرساله إلى خادم المهاجم كقيمة للمعلمة ext.

الشكل 18. الملفات المشفرة

وبعد بروتوكول HTTP يتم إرسال طلب POST مع إشارة "عمله" وعدد الملفات المشفرة.

الشكل 19. الكود الرئيسي للمشفّر

القائمة الكاملة لملحقات الملفات المشفرة على كمبيوتر الضحية:

"* .sql"	"* .mp4"	"* .7z"	"* .rar"	"* .m4a"	"* .ma"
"* .avi"	"* .wmv"	"* .csv"	"* .d3dbsp"	"* .zip"	"* .sie"
"* .sum"	"*. بنك"	"* .t13"	"* .t12"	"* .qdf"	"* .gdb"
"*. ضريبة"	"* .pkpass"	"* .bc6"	"* .bc7"	"* .bkp"	"* .qic"
"* .bkf"	"*. السيد"	"*. السيد"	"* .mddata"	"* .itl"	"* .itdb"
"* .icxs"	"* .hvpl"	"* .hplg"	"*. hkdb"	"* .mdbackup"	"* .syncdb"
"* .gho"	"* .cas"	"* .svg"	"*. خريطة"	"* .wmo"	"* .itm"
"* .sb"	"*. fos"	"* .موف"	"* .vdf"	"* .ztmp"	"*. sis"
"*. السيد"	"* .ncf"	"*. مينو"	"* .layout"	"* .dmp"	"*. blob"
"*. esm"	"* .vcf"	"* .vtf"	"* .dazip"	"* .fpk"	"* .mlx"
"* .kf"	"*. iwd"	"* .vpk"	"* .Tor"	"* .psk"	"* .ريم"
"* .w3x"	"* .fsh"	"* .ntl"	"* .arch00"	"* .lvl"	"* .snx"
"* .cfr"	"* .ff"	"* .vpp_pc"	"* .lrf"	"* .m2"	"* .mcmeta"
"* .vfs0"	"* .mpqge"	"* .kdb"	"* .db0"	"* .dba"	"* .rofl"
"* .hkx"	"* .bar"	"* .upk"	"* .داس"	"*. iwi"	"* .litemod"
"*. الكاسيت"	"*. forge"	"* .ltx"	"* .bsa"	"* .apk"	"* .re4"
"* .sav"	"* .lbf"	"* .slm"	"* .bik"	"* .epk"	"* .rgss3a"
"*. باك"	"*. كبير"	"* محفظة"	"*. التشغيل"	"* .xxx"	"* .desc"
"* .py"	"* .m3u"	"*. flv"	"* .js"	"* .css"	"* .rb"
"* .png"	"* .jpeg"	"* .txt"	"* .p7c"	"* .p7b"	"* .p12"
"* .pfx"	"* .pem"	"* .crt"	"* .cer"	"* .der"	"* .x3f"
"* .rw"	"*. pef"	"* .ptx"	"* .r3d"	"* .rw2"	"* .rwl"
"* .raw"	"* .raf"	"* .orf"	"* .nrw"	"* .mrwref"	"* .Mef"
"* .erf"	"* .kdc"	"* .dcr"	"* .cr2"	"* .crw"	"*. الخليج"
"*. sr2"	"* .srf"	"* .arw"	"* .3fr"	"* .dng"	"* .jpe"
"* .jpg"	"* .cdr"	"* .indd"	"* .ai"	"* .eps"	"* .pdf"
"* .pdd"	"* .psd"	"* .dbf"	"* .mdf"	"* .wb2"	"* .rtf"
"* .wpd"	"* .dxg"	"* .xf"	"* .dwg"	"* .pst"	"* .accdb"
"* .mdb"	"* .pptm"	"* .pptx"	"* .ppt"	"* .xlk"	"* .xlsb"
"* .xlsm"	"* .xlsx"	"* .xls"	"* .wps"	"* .docm"	"* .docx"
"* .doc"	"* .odb"	"* .odc"	"* .odm"	"* .odp"	"* .ods"
"*. odt"

بعد تشفير الملفات ، يتم إنشاء الملف النصي READ_ME_NOW.htm على جهاز الكمبيوتر الخاص بالضحية ، والذي يوضح ما يجب القيام به لاستعادة محتويات الملفات.

الشكل 20. مهاجمة مهاجم

كما ترون ، يتم إنشاء رابط فريد لكل ضحية يحتوي على المعرف من الملف C: \ Users \ Public \ OracleKit \ w00log03.tmp ، وإذا كان تالفًا أو محذوفًا ، فهناك خطر عدم استرداد البيانات المشفرة. يتوفر رابط مع نموذج لفك تشفير الملفات ويتطلب فدية على هذا الرابط في متصفح Tor. إعادة الشراء المبدئية هي 500 دولار وتزداد بمرور الوقت.

الشكل 21. طلب الاسترداد

إغلاق

بعد تشفير ملفات الضحية ، يحذف FTCODE البيانات التي يمكن استخدامها لاستعادة الملفات المشفرة.

الشكل 22. حذف البيانات

استنتاج

يتكون هذا البرنامج الضار من أداة تحميل التشغيل في شكل رمز VBS وحمولة في شكل رمز PowerShell. يتم استخدام صورة JPEG لإخفاء العدوى. تقوم وظائف البرنامج الخبيث بتثبيت برنامج تحميل JasperLoader المشهور وتشفير ملفات الضحية للحصول على فدية ، وكذلك سرقة جميع الحسابات وكلمات المرور من المتصفحات الشعبية وعملاء البريد الإلكتروني.
تم الكشف عن التهديد المدروس بواسطة نظام تحليل حركة مرور شبكة PT NAD كـ FTCODE.

بالإضافة إلى ذلك ، يخزن PT NAD حركة مرور الشبكة ، مما سيساعد على فك تشفير ملفات ضحايا هذه الفدية.

شركات النفط العالمية

6bac6d1650d79c19d2326719950017a8
bf4b8926c121c228aff646b258a4541e
الفرقة [.] positivelifeology [.] كوم
موبي [.] اعترافات [.] موبي
البقاء على قيد الحياة [.] surviveandthriveparenting [.] كوم
الغذاء [.] kkphd [.] كوم

كتب بواسطة ديمتري ماكاروف ، تقنيات إيجابية

FTCODE fileless ransomware يسرق الآن الحسابات