📷 👨‍⚕️ 🐽 FTCODE fileless Ransomware stiehlt jetzt Konten 📁 🤘🏼 😆

Im Jahr 2013 meldete Sophos Fälle von Infektionen mit einem in PowerShell geschriebenen Ransomware-Virus. Der Angriff richtete sich an Nutzer aus Russland. Nach dem Verschlüsseln der Dateien wurde ihnen die Erweiterung .FTCODE hinzugefügt, die der Ransomware den Namen gab. Während des Spam-Vorgangs wurde bösartiger Code in einer an eine E-Mail angehängten HTA-Datei verbreitet. Nach der Verschlüsselung hinterließ die Ransomware Anweisungen in russischer Sprache, wie man ein Lösegeld macht und die Dateien entschlüsselt.

Einige Jahre später, im Herbst 2019, wurden neue Hinweise auf eine Infektion mit dieser Ransomware gegeben. Die Angreifer führten eine Phishing-Kampagne durch, die sich an Benutzer des PEC-zertifizierten E-Mail-Dienstes richtete, der in Italien und anderen Ländern verwendet wird. Die Opfer erhielten eine E-Mail mit einem angehängten Dokument. In dem Dokument befand sich ein Makro, das schädlichen Code heruntergeladen hatte. Zusätzlich zur Verschlüsselung hat die Ransomware einen JasperLoader-Bootloader installiert. Dieser Trojaner kann verwendet werden, um verschiedene Malware zu liefern. Es sind beispielsweise Fälle bekannt, in denen ein Opfer eines Gootkit-Banking-Trojaners auf einen Computer heruntergeladen wird.

Mitte Oktober erschien eine Ransomware-Version mit Funktionen zum Stehlen von Benutzerkonten und Passwörtern vom Computer des Opfers. Sie werden aus gängigen Browsern und E-Mail-Clients extrahiert, die mit Standardeinstellungen installiert sind.

PowerShell wird häufig zum Entwickeln von Malware verwendet, da der Interpreter dieser Sprache seit der siebten Version standardmäßig im Windows-Betriebssystem enthalten ist. Darüber hinaus ermöglicht PowerShell die Ausführung von schädlichem Code, ohne ihn in einer Datei auf dem Computer des Opfers zu speichern. Positive Technologies hat einen Webinareintrag zu diesen Bedrohungen.

Payload Delivery

Zunächst wird das Skript nuove_tariffe_2020_8_af11773ee02ec47fd5291895f25948e7.vbs , mit dem der PowerShell-Interpreter-Prozess nuove_tariffe_2020_8_af11773ee02ec47fd5291895f25948e7.vbs wird.

Abbildung 1. Nutzdaten herunterladen

Der Interpreter erhält eine Zeile mit den Befehlen, die das Bild hxxps://static[.]nexilia[.]it/nextquotidiano/2019/01/autostrade-aumenti-tariffe-2019[.]jpg und als tariffe hxxps://static[.]nexilia[.]it/nextquotidiano/2019/01/autostrade-aumenti-tariffe-2019[.]jpg (Abbildung 2). jpg im Verzeichnis für temporäre Dateien.

Abbildung 2. Das Bild tariffe.jpg, mit dem die Aufmerksamkeit des Benutzers abgelenkt wird

Dann wird dieses Image geöffnet und gleichzeitig mit Hilfe der Invoke Expression Ransomware aus dem Internet heruntergeladen, ohne auf Festplatte zu brennen. Im Gegensatz zu früheren Infektionsfällen wird jetzt der Körper der Malware mithilfe des Base64-Algorithmus verschlüsselt verbreitet. Zur Auslieferung der Payload werden die Domain "band [.] Positivelifeology [.] Com" (Abbildung 3) sowie "mobi [.] Confessyoursins [.] Mobi" verwendet.

Abbildung 3. Verkehrsfragment mit Ransomware-Code

Diebstahl von Benutzeranmeldeinformationen

Wie bereits erwähnt, verfügt die neue Version der Ransomware über ein Modul zum Stehlen von Benutzerkonten und Kennwörtern von gängigen Browsern und E-Mail-Clients, nämlich von Internet Explorer, Mozilla Firefox, Chrome, Outlook und Mozilla Thunderbird.

Zunächst wird der Befehl start chooseArch mit der Anforderung surv [.] Surviveandthriveparenting [.] Com an den Angreifer-Server gesendet. Dabei wird die HTTP-Protokoll-POST-Anforderung verwendet.

Abbildung 4. Meldung über den Beginn der Modulausführung bei Identitätsdiebstahl

Der zu diesem Zeitpunkt erzeugte Datenverkehr wird durch eine Zeile in der Form guid = temp_dddddddddddd gekennzeichnet, gefolgt von Befehlen oder gestohlenen Daten (Abbildung 5). Diese Zeile enthält eine für jedes Ransomware-Beispiel eindeutige Anleitung.

Abbildung 5. Vom Styler für die Netzwerkkommunikation verwendeter Code

Dann werden die Benutzernamen und Passwörter des Opfers extrahiert, vom base64-Algorithmus verschlüsselt und an die Angreifer gesendet.

Abbildung 6. Code zum Senden von Benutzerkonten

Das Folgende ist ein Ausschnitt aus dem Datenverkehr, der die gestohlenen Daten enthält, die von der HTTP-POST-Anforderung gesendet wurden.

Abbildung 7. Diebstahldaten

Nachdem die Anmeldeinformationen gesendet wurden, signalisiert der Stiller unter Verwendung der POST-Anforderung des HTTP-Protokolls den Abschluss seiner Arbeit.

Abbildung 8. Signal für erfolgreichen Datendiebstahl

Installieren Sie den JasperLoader-Bootloader

Die neue Version der Ransomware lädt weiterhin den JasperLoader-Bootloader herunter und installiert ihn (Abbildung 9), mit dem verschiedene Malware verbreitet werden kann.

Abbildung 9. Traffic-Snippet mit JasperLoader-Code

Der heruntergeladene Bootloader wird in der Datei C: \ Users \ Public \ Libraries \ WindowsIndexingService.vbs gespeichert und zu geplanten Windows-Aufgaben als WindowsApplicationService und zum Starten mit WindowsApplicationService.lnk hinzugefügt.

Abbildung 10. Installation des Bootloaders

Datenverschlüsselung

FTCODE stiehlt nicht nur Benutzeranmeldeinformationen und installiert einen Bootloader, sondern verschlüsselt auch Dateien auf dem Computer des Opfers. Diese Phase beginnt mit der Vorbereitung der Umwelt. Die Ransomware verwendet die Datei C: \ Users \ Public \ OracleKit \ quanto00.tmp, um den Zeitpunkt der letzten Ausführung zu speichern. Daher werden das Vorhandensein dieser Datei im System und ihre Erstellungszeit überprüft. Wenn die Datei im System vorhanden ist und seit der Erstellung der Datei höchstens 30 Minuten vergangen sind, endet der Vorgang (Abbildung 11). Diese Tatsache kann als Impfstoff verwendet werden.

Abbildung 11. Überprüfen der Zeit seit dem letzten Start der Ransomware

Dann wird aus der Datei C: \ Users \ Public \ OracleKit \ w00log03.tmp der Bezeichner gelesen - oder ein neuer erstellt, wenn die Datei fehlt.

Abbildung 12. Opfer-ID vorbereiten

Abbildung 13. ID des Opfers

Die Ransomware generiert dann Schlüsselinformationen für die weitere Dateiverschlüsselung.

Abbildung 14. Generieren von Schlüsselinformationen für die Verschlüsselung

Wie Sie dem Code entnehmen können, werden die für die Wiederherstellung der Daten des Opfers erforderlichen Informationen durch die POST-Anforderung des HTTP-Protokolls an den Knoten mit der Domain food [.] Kkphd [.] Com gesendet.

Abbildung 15. Die Funktion zum Senden von Schlüsselinformationen zur Verschlüsselung (Entschlüsselung)

Wenn Sie also den Datenverkehr abfangen, der das Salz zum Verschlüsseln der Dateien des Opfers enthält, können Sie alle Dateien selbst wiederherstellen, ohne Geld an die Angreifer zu überweisen.

Abbildung 16. Informationen zu abgefangenen Schlüsseln

Für die Verschlüsselung wird der Rijndael-Algorithmus im CBC-Modus mit einem Initialisierungsvektor verwendet, der auf der BXCODE INIT-Zeile und einem vom BXCODE erhaltenen Schlüssel basiert. Hacken Sie Ihr Systemkennwort und das zuvor generierte Salt.

Abbildung 17. Verschlüsselungsfunktion

Kurz vor dem Start der Dateiverschlüsselung wird das Startsignal in der HTTP-Protokoll-POST-Anforderung gesendet. Wenn die Größe des Inhalts der Quelldatei während des Verschlüsselungsvorgangs 40.960 Byte überschreitet, wird die Datei auf diese Größe gekürzt. Den Dateien wird eine Erweiterung hinzugefügt, jedoch nicht .FTCODE, wie in früheren Versionen der Ransomware, sondern eine, die zuvor zufällig generiert und als Wert des Parameters ext an den Angreifer-Server gesendet wurde.

Abbildung 18. Verschlüsselte Dateien

Und nach dem HTTP-Protokoll wird die POST-Anfrage mit einem "Fertig" -Signal und der Anzahl der verschlüsselten Dateien gesendet.

Abbildung 19. Der Hauptcode des Verschlüsselers

Vollständige Liste der Dateierweiterungen, die auf dem Computer des Opfers verschlüsselt sind:

"* .sql"	"* .mp4"	"* .7z"	"* .rar"	"* .m4a"	"* .wma"
"* .avi"	"* .wmv"	"* .csv"	"* .d3dbsp"	"* .zip"	"* .sie"
"* .sum"	"* .ibank"	"* .t13"	"* .t12"	"* .qdf"	"* .gdb"
"* .tax"	"* .pkpass"	"* .bc6"	"* .bc7"	"* .bkp"	"* .qic"
"* .bkf"	"* .sidn"	"* .sidd"	"* .mddata"	"* .itl"	"* .itdb"
"* .icxs"	"* .hvpl"	"* .hplg"	"* .hkdb"	"* .mdbackup"	"* .syncdb"
"* .gho"	"* .cas"	"* .svg"	"* .map"	"* .wmo"	"* .itm"
"* .sb"	"* .fos"	"* .mov"	"* .vdf"	"* .ztmp"	"* .sis"
"* .sid"	"* .ncf"	"* .menu"	"* .layout"	"* .dmp"	"* .blob"
"* .esm"	"* .vcf"	"* .vtf"	"* .dazip"	"* .fpk"	"* .mlx"
"* .kf"	"* .iwd"	"* .vpk"	"* .tor"	"* .psk"	"* .rim"
"* .w3x"	"* .fsh"	"* .ntl"	"* .arch00"	"* .lvl"	"* .snx"
"* .cfr"	"* .ff"	"* .vpp_pc"	"* .lrf"	"* .m2"	"* .mcmeta"
"* .vfs0"	"* .mpqge"	"* .kdb"	"* .db0"	"* .dba"	"* .rofl"
"* .hkx"	"* .bar"	"* .upk"	"* .das"	"* .iwi"	"* .litemod"
"* .asset"	"* .forge"	"* .ltx"	"* .bsa"	"* .apk"	"* .re4"
"* .sav"	"* .lbf"	"* .slm"	"* .bik"	"* .epk"	"* .rgss3a"
"* .pak"	"* .big"	"* Brieftasche"	"* .wotreplay"	"* .xxx"	"* .desc"
"* .py"	"* .m3u"	"* .flv"	"* .js"	"* .css"	"* .rb"
"* .png"	"* .jpeg"	"* .txt"	"* .p7c"	"* .p7b"	"* .p12"
"* .pfx"	"* .pem"	"* .crt"	"* .cer"	"* .der"	"* .x3f"
"* .srw"	"* .pef"	"* .ptx"	"* .r3d"	"* .rw2"	"* .rwl"
"* .raw"	"* .raf"	"* .orf"	"* .nrw"	"* .mrwref"	"* .mef"
"* .erf"	"* .kdc"	"* .dcr"	"* .cr2"	"* .crw"	"* .bay"
"* .sr2"	"* .srf"	"* .arw"	"* .3fr"	"* .dng"	"* .jpe"
"* .jpg"	"* .cdr"	"* .indd"	"* .ai"	"* .eps"	"* .pdf"
"* .pdd"	"* .psd"	"* .dbf"	"* .mdf"	"* .wb2"	"* .rtf"
"* .wpd"	"* .dxg"	"* .xf"	"* .dwg"	"* .pst"	"* .accdb"
"* .mdb"	* .pptm	"* .pptx"	"* .ppt"	"* .xlk"	"* .xlsb"
"* .xlsm"	"* .xlsx"	"* .xls"	"* .wps"	"* .docm"	"* .docx"
"* .doc"	"* .odb"	"* .odc"	"* .odm"	"* .odp"	"* .ods"
"* .odt"

Nach dem Verschlüsseln der Dateien wird auf dem Computer des Opfers die Textdatei READ_ME_NOW.htm erstellt, in der erläutert wird, was zu tun ist, um den Inhalt der Dateien wiederherzustellen.

Abbildung 20. Angreifen eines Angreifers

Wie Sie sehen, wird für jedes Opfer ein eindeutiger Link erstellt, der den Bezeichner aus der Datei C: \ Users \ Public \ OracleKit \ w00log03.tmp enthält. Wenn er beschädigt oder gelöscht wird, besteht die Gefahr, dass die verschlüsselten Daten nicht wiederhergestellt werden. Ein Link mit einem Formular zum Entschlüsseln von Dateien, für das ein Lösegeld erforderlich ist, finden Sie unter diesem Link in Tor Browser. Der anfängliche Rückkauf beträgt 500 USD und steigt mit der Zeit an.

Abbildung 21. Rücknahmeantrag

Herunterfahren

Nachdem die Dateien des Opfers verschlüsselt wurden, löscht FTCODE die Daten, die zur Wiederherstellung der verschlüsselten Dateien verwendet werden könnten.

Abbildung 22. Daten löschen

Fazit

Diese Malware besteht aus einem Bootloader in Form von VBS-Code und einer Payload in Form von PowerShell-Code. Ein JPEG-Bild wird verwendet, um die Infektion zu maskieren. Die Malware installiert den bekannten JasperLoader-Bootloader, verschlüsselt die Dateien des Opfers und stiehlt alle Konten und Passwörter von gängigen Browsern und E-Mail-Clients.
Die in Betracht gezogene Bedrohung wird vom PT NAD-Netzwerkverkehrsanalysesystem als FTCODE erkannt.

Darüber hinaus speichert PT NAD den Netzwerkverkehr, mit dessen Hilfe die Dateien der Opfer dieser Ransomware entschlüsselt werden können.

IOCs

6bac6d1650d79c19d2326719950017a8
bf4b8926c121c228aff646b258a4541e
band [.] positivelifeology [.] com
mobi [.] confessyoursins [.] mobi
surv [.] surviveandthriveparenting [.] com
food [.] kkphd [.] com

Gepostet von Dmitry Makarov, Positive Technologies

FTCODE fileless Ransomware stiehlt jetzt Konten