Geekly articles weekly

FTCODE ransomware tanpa fileless sekarang mencuri akun

Pada 2013, Sophos melaporkan kasus infeksi dengan virus ransomware yang ditulis di PowerShell. Serangan itu ditujukan pada pengguna dari Rusia. Setelah mengenkripsi file, ekstensi .FTCODE ditambahkan ke mereka, yang memberi nama ke ransomware. Kode berbahaya tersebar selama spamming di dalam file HTA yang dilampirkan ke email. Setelah enkripsi, ransomware meninggalkan instruksi dalam bahasa Rusia tentang cara membuat tebusan dan mendekripsi file.

Beberapa tahun kemudian, pada musim gugur 2019, disebutkan adanya infeksi baru dengan ransomware ini. Penyerang melakukan kampanye phishing yang ditujukan untuk pengguna layanan email bersertifikat PEC yang digunakan di Italia dan negara-negara lain. Para korban menerima email dengan dokumen terlampir. Di dalam dokumen itu ada makro yang mengunduh kode berbahaya. Selain enkripsi, ransomware memasang bootloader JasperLoader. Trojan ini dapat digunakan untuk mengirim berbagai malware. Misalnya, ada kasus yang diketahui mengunduh korban trojan perbankan Gootkit ke komputer .

Pada pertengahan Oktober, versi ransomware muncul, dilengkapi dengan fungsi untuk mencuri akun pengguna dan kata sandi dari komputer korban. Mereka diekstraksi dari browser populer dan klien email diinstal dengan pengaturan default.

PowerShell sering digunakan untuk mengembangkan malware, karena penafsir bahasa ini disertakan secara default di sistem operasi Windows sejak versi ketujuh. Selain itu, PowerShell memungkinkan kode berbahaya dijalankan tanpa menyimpannya ke file di komputer korban. Positive Technologies memiliki entri webinar tentang ancaman ini.

Pengiriman Payload


Pertama, skrip nuove_tariffe_2020_8_af11773ee02ec47fd5291895f25948e7.vbs , yang memulai proses juru bahasa PowerShell.



Gambar 1. Mengunduh payload

Penerjemah diberi garis dengan perintah yang mengunduh gambar hxxps://static[.]nexilia[.]it/nextquotidiano/2019/01/autostrade-aumenti-tariffe-2019[.]jpg (Gambar 2) dan simpan sebagai tarif. jpg di direktori file sementara.



Gambar 2. Gambar tariffe.jpg digunakan untuk mengalihkan perhatian pengguna

Kemudian gambar ini dibuka dan pada saat yang sama menggunakan Invoke Expression ransomware diunduh dari Internet, tanpa membakar ke disk. Tidak seperti kasus infeksi sebelumnya, sekarang tubuh malware disebarkan disandikan menggunakan algoritma Base64. Untuk pengiriman payload, domain โ€œband [.] Positivelifeology [.] Comโ€ (Gambar 3), serta โ€œmobi [.] Confessyoursins [.] Mobiโ€ digunakan.



Gambar 3. Fragmen traffic dengan kode ransomware

Pencurian kredensial pengguna


Seperti yang telah dicatat, versi baru ransomware memiliki modul untuk mencuri akun pengguna dan kata sandi dari browser dan klien email populer, yaitu dari Internet Explorer, Mozilla Firefox, Chrome, Outlook, dan Mozilla Thunderbird.

Pertama, perintah start selectArch dikirim ke server penyerang dengan surv [.] Surviveandthriveparenting [.] Domain com menggunakan protokol HTTP, permintaan POST.



Gambar 4. Sinyal tentang awal pelaksanaan modul untuk pencurian identitas

Lalu lintas yang dihasilkan pada tahap ini ditandai oleh garis form guid = temp_ddddddddddd, diikuti oleh perintah atau data yang dicuri (Gambar 5). Baris ini berisi panduan unik untuk setiap sampel ransomware.



Gambar 5. Kode yang digunakan oleh styler untuk komunikasi jaringan

Kemudian nama pengguna dan kata sandi korban diekstraksi, disandikan oleh algoritma base64 dan dikirim ke penyerang.



Gambar 6. Kode untuk mengirim akun pengguna

Berikut ini adalah potongan lalu lintas yang berisi data curian yang dikirim oleh permintaan HTTP POST.



Gambar 7. Data pencurian

Setelah kredensial dikirim, pembuat stiller, menggunakan permintaan POST dari protokol HTTP, memberi sinyal penyelesaian pekerjaannya.



Gambar 8. Sinyal pencurian data yang berhasil

Instal bootloader JasperLoader


Versi baru ransomware masih mengunduh dan menginstal bootloader JasperLoader (Gambar 9), yang dapat digunakan untuk mendistribusikan berbagai malware.



Gambar 9. Cuplikan lalu lintas dengan kode JasperLoader

Bootloader yang diunduh disimpan ke file C: \ Users \ Public \ Libraries \ WindowsIndexingService.vbs dan ditambahkan ke tugas Windows terjadwal sebagai WindowsApplicationService dan untuk memulai menggunakan WindowsApplicationService.lnk.



Gambar 10. Menginstal bootloader

Enkripsi data


Selain mencuri kredensial pengguna dan menginstal bootloader, FTCODE mengenkripsi file di komputer korban. Tahap ini dimulai dengan persiapan lingkungan. Ransomware menggunakan file C: \ Users \ Public \ OracleKit \ quanto00.tmp untuk menyimpan waktu terakhir dijalankan. Oleh karena itu, keberadaan file ini dalam sistem dan waktu pembuatannya diperiksa. Jika file ada dalam sistem dan 30 menit atau kurang telah berlalu sejak file dibuat, proses berakhir (Gambar 11). Fakta ini dapat digunakan sebagai vaksin.



Gambar 11. Memeriksa waktu sejak peluncuran ransomware terakhir

Kemudian dari file C: \ Users \ Public \ OracleKit \ w00log03.tmp pengenal dibaca - atau yang baru dibuat jika file tersebut hilang.



Gambar 12. Mempersiapkan ID korban



Gambar 13. ID Korban

Ransomware kemudian menghasilkan informasi kunci untuk enkripsi file lebih lanjut.



Gambar 14. Menghasilkan informasi utama untuk enkripsi


Seperti yang Anda lihat dari kode, informasi yang diperlukan untuk memulihkan data korban dikirim oleh permintaan POST dari protokol HTTP ke node dengan makanan domain [.] Kkphd [.] Com.



Gambar 15. Fungsi pengiriman informasi utama untuk enkripsi (dekripsi)

Dengan demikian, jika Anda berhasil mencegat lalu lintas yang mengandung garam untuk mengenkripsi file korban, Anda dapat secara mandiri memulihkan semua file tanpa mentransfer uang ke penyerang.



Gambar 16. Informasi Kunci Yang Dicegat

Untuk enkripsi, algoritma Rijndael digunakan dalam mode CBC dengan vektor inisialisasi berdasarkan garis BXCODE INIT dan kunci yang diperoleh dari BXCODE meretas kata sandi sistem Anda dan garam yang sebelumnya dihasilkan.



Gambar 17. Fungsi Enkripsi

Tepat sebelum dimulainya enkripsi file, sinyal "mulai" dikirim dalam permintaan POST protokol HTTP. Selama proses enkripsi, jika ukuran isi file sumber melebihi 40.960 byte, file dipotong ke ukuran ini. Ekstensi ditambahkan ke file, tetapi tidak .FTCODE, seperti pada versi ransomware sebelumnya, tetapi yang dibuat secara acak sebelumnya dan yang dikirim ke server penyerang sebagai nilai parameter ext.



Gambar 18. File terenkripsi

Dan setelah protokol HTTP, permintaan POST dikirim dengan sinyal "selesai" dan jumlah file terenkripsi.



Gambar 19. Kode utama enkripsi

Daftar lengkap ekstensi file yang dienkripsi di komputer korban:
"* .sql""* .mp4""* .7z""* .rar""* .m4a""* .wma"
"* .avi""* .wmv""* .csv""* .d3dbsp""* .zip""* .sie"
"* .sum""* .ibank""* .t13""* .t12""* .qdf"
"* .gdb"
"* .tax""* .pkpass""* .bc6""* .bc7""* .bkp""* .qic"
"* .bkf""* .sidn""* .sidd""* .mddata""* .itl""* .itdb"
"* .icxs""* .hvpl""* .hplg""* .hkdb""* .mdbackup""* .syncdb"
"* .gho""* .cas""* .svg""* .map""* .wmo""* .itm"
"* .sb""* .fos""* .mov""* .vdf""* .ztmp""* .sis"
"* .sid""* .ncf""* .menu""* .layout""* .dmp""* .blob"
"* .esm""* .vcf""* .vtf""* .dazip""* .fpk""* .mlx"
"* .kf""* .iwd""* .vpk""* .tor""* .psk""* .rim"
"* .w3x""* .fsh""* .ntl""* .arch00""* .lvl""* .snx"
"* .cfr""* .ff""* .vpp_pc""* .lrf""* .m2""* .mcmeta"
"* .vfs0""* .mpqge""* .kdb""* .db0""* .dba""* .rofl"
"* .hkx""* .bar""* .upk""* .das""* .iwi""* .litemod"
"* .asset""* .forge""* .ltx""* .bsa""* .apk""* .re4"
"* .sav""* .lbf""* .slm""* .bik""* .epk""* .rgss3a"
"* .pak""* .big""* dompet""* .wotreplay""* .xxx""* .desc"
"* .py""* .m3u""* .flv""* .js""* .css""* .rb"
"* .png""* .jpeg""* .txt""* .p7c""* .p7b""* .p12"
"* .pfx""* .pem""* .crt""* .cer""* .der""* .x3f"
"* .srw""* .pef""* .ptx""* .r3d""* .rw2""* .rwl"
"* .raw""* .raf""* .orf""* .nrw""* .mrwref""* .mef"
"* .erf""* .kdc""* .dcr""* .cr2""* .crw""* .bay"
"* .sr2""* .srf""* .arw""* .3fr""* .dng""* .jpe"
"* .jpg""* .cdr""* .indd""* .ai""* .eps""* .pdf"
"* .pdd""* .psd""* .dbf""* .mdf""* .wb2""* .rtf"
"* .wpd""* .dxg""* .xf""* .dwg""* .pst""* .accdb"
"* .mdb""* .pptm""* .pptx""* .ppt""* .xlk""* .xlsb"
"* .xlsm""* .xlsx""* .xls""* .wps""* .docm""* .docx"
"* .doc""* .odb""* .odc""* .odm""* .odp""* .ods"
"* .odt"

Setelah mengenkripsi file, file teks READ_ME_NOW.htm dibuat di komputer korban, yang menjelaskan apa yang perlu dilakukan untuk mengembalikan konten file.



Gambar 20. Menyerang penyerang

Seperti yang Anda lihat, untuk setiap korban dibuat tautan unik yang berisi pengenal dari file C: \ Users \ Public \ OracleKit \ w00log03.tmp, dan jika rusak atau dihapus, ada risiko tidak memulihkan data terenkripsi. Tautan dengan formulir untuk mendekripsi file dan membutuhkan tebusan tersedia di tautan ini di Tor Browser. Pembelian kembali awal adalah $ 500 dan meningkat seiring waktu.



Gambar 21. Permintaan Penebusan

Shutdown


Setelah file korban dienkripsi, FTCODE menghapus data yang dapat digunakan untuk memulihkan file yang dienkripsi.



Gambar 22. Menghapus data

Kesimpulan


Malware ini terdiri dari bootloader dalam bentuk kode VBS dan payload dalam bentuk kode PowerShell. Gambar JPEG digunakan untuk menutupi infeksi. Fungsi malware adalah menginstal bootloader JasperLoader yang terkenal dan mengenkripsi file korban untuk tebusan, serta mencuri semua akun dan kata sandi dari browser populer dan klien email.
Ancaman yang dianggap terdeteksi oleh sistem analisis lalu lintas jaringan PT NAD sebagai FTCODE.

Selain itu, PT NAD menyimpan lalu lintas jaringan, yang akan membantu mendekripsi file korban ransomware ini.

IOC


6bac6d1650d79c19d2326719950017a8
bf4b8926c121c228aff646b258a4541e
band [.] positivelifeology [.] com
mobi [.] confessyoursins [.] mobi
surv [.] bertahan hidup dan mempersiapkan [.] com
makanan [.] kkphd [.] com

Diposting oleh Dmitry Makarov, Positive Technologies

Source: https://habr.com/ru/post/id484204/

More articles:


All Articles