Geekly articles weekly

FTCODE ransomware sem arquivo agora rouba contas

Em 2013, a Sophos relatou casos de infecção por um vírus de ransomware escrito no PowerShell. O ataque foi destinado a usuários da Rússia. Após criptografar os arquivos, a extensão .FTCODE foi adicionada a eles, que deu o nome ao ransomware. O código malicioso foi espalhado durante o envio de spam dentro de um arquivo HTA anexado a um email. Após a criptografia, o ransomware deixou instruções em russo sobre como fazer um resgate e descriptografar os arquivos.

Alguns anos depois, no outono de 2019, novas menções de infecção com este ransomware apareceram. Os invasores realizaram uma campanha de phishing direcionada aos usuários do serviço de e-mail certificado PEC usado na Itália e em outros países. As vítimas receberam um email com um documento em anexo. Dentro do documento havia uma macro que baixava código malicioso. Além da criptografia, o ransomware instalou um carregador de inicialização JasperLoader. Este cavalo de Troia pode ser usado para entregar vários malwares. Por exemplo, existem casos conhecidos de baixar uma vítima de um Trojan bancário Gootkit em um computador .

Em meados de outubro, uma versão de ransomware apareceu, complementada com funções para roubar contas de usuário e senhas do computador da vítima. Eles são extraídos de navegadores populares e clientes de email instalados com configurações padrão.

O PowerShell geralmente é usado para desenvolver malware, porque o intérprete desse idioma é incluído por padrão no sistema operacional Windows desde a sétima versão. Além disso, o PowerShell permite que códigos maliciosos sejam executados sem salvá-los em um arquivo no computador da vítima. A Positive Technologies tem uma entrada no webinar sobre essas ameaças.

Entrega de carga


Primeiro, o script nuove_tariffe_2020_8_af11773ee02ec47fd5291895f25948e7.vbs é nuove_tariffe_2020_8_af11773ee02ec47fd5291895f25948e7.vbs , o que inicia o processo do interpretador do PowerShell.



Figura 1. Fazendo download da carga útil

O intérprete recebe uma linha com os comandos que baixam a imagem hxxps://static[.]nexilia[.]it/nextquotidiano/2019/01/autostrade-aumenti-tariffe-2019[.]jpg (Figura 2) e salve-a como tarifafe. jpg no diretório de arquivos temporários.



Figura 2. A imagem tariffe.jpg usada para distrair a atenção do usuário

Em seguida, essa imagem é aberta e, ao mesmo tempo, o download do ransomware Invoke Expression é baixado da Internet, sem gravar no disco. Ao contrário dos casos anteriores de infecção, agora o corpo do malware é espalhado codificado usando o algoritmo Base64. Para entrega da carga útil, são utilizados o domínio “banda [.] Positivelifeology [.] Com” (Figura 3), bem como “mobi [.] Confessyoursins [.] Mobi”.



Figura 3. Fragmento de tráfego com código de ransomware

Roubo de credenciais do usuário


Como já observado, a nova versão do ransomware possui um módulo para roubar contas de usuário e senhas de navegadores e clientes de email populares, como o Internet Explorer, Mozilla Firefox, Chrome, Outlook e Mozilla Thunderbird.

Primeiro, o comando start chooseArch é enviado ao servidor atacante com o domínio surv [.] Surviveandthriveparenting [.] Com usando a solicitação POST do protocolo HTTP.



Figura 4. Sinal sobre o início da execução do módulo por roubo de identidade

O tráfego gerado nesse estágio é caracterizado por uma linha no formato guid = temp_dddddddddddd, seguida por comandos ou dados roubados (Figura 5). Esta linha contém um guia exclusivo para cada amostra de ransomware.



Figura 5. Código usado pelo modelador para comunicação em rede

Em seguida, os nomes de usuário e senhas da vítima são extraídos, codificados pelo algoritmo base64 e enviados aos atacantes.



Figura 6. Código para o envio de contas de usuário

A seguir, um trecho de tráfego que contém os dados roubados enviados pela solicitação HTTP POST.



Figura 7. Dados de roubo

Após o envio das credenciais, o stiller, usando a solicitação POST do protocolo HTTP, sinaliza a conclusão de seu trabalho.



Figura 8. Sinal de roubo de dados bem-sucedido

Instale o carregador de inicialização JasperLoader


A nova versão do ransomware ainda baixa e instala o carregador de inicialização JasperLoader (Figura 9), que pode ser usado para distribuir vários malwares.



Figura 9. Fragmento de tráfego com código JasperLoader

O carregador de inicialização baixado é salvo no arquivo C: \ Users \ Public \ Libraries \ WindowsIndexingService.vbs e é adicionado às tarefas agendadas do Windows como WindowsApplicationService e na inicialização usando WindowsApplicationService.lnk.



Figura 10. Instalando o carregador de inicialização

Criptografia de dados


Além de roubar credenciais do usuário e instalar um carregador de inicialização, o FTCODE criptografa arquivos no computador da vítima. Esta etapa começa com a preparação do ambiente. O ransomware usa o arquivo C: \ Users \ Public \ OracleKit \ quanto00.tmp para armazenar a hora em que foi executada pela última vez. Portanto, a presença desse arquivo no sistema e seu horário de criação são verificados. Se o arquivo existe no sistema e se passaram 30 minutos ou menos desde que o arquivo foi criado, o processo termina (Figura 11). Este fato pode ser usado como uma vacina.



Figura 11. Verificando o tempo desde o último lançamento do ransomware

Em seguida, no arquivo C: \ Users \ Public \ OracleKit \ w00log03.tmp, o identificador será lido - ou um novo será criado se o arquivo estiver ausente.



Figura 12. Preparando o ID da vítima



Figura 13. ID da vítima

O ransomware gera informações importantes para criptografia de arquivos adicional.



Figura 14. Gerando informações importantes para criptografia


Como você pode ver no código, as informações necessárias para recuperar os dados da vítima são enviadas por uma solicitação POST do protocolo HTTP para o nó com o domínio food [.] Kkphd [.] Com.



Figura 15. A função de enviar informações importantes para criptografia (descriptografia)

Portanto, se você conseguir interceptar o tráfego que contém o sal para criptografar os arquivos da vítima, poderá recuperar todos os arquivos você mesmo sem transferir dinheiro para os atacantes.



Figura 16. Informações principais interceptadas

Para criptografia, o algoritmo de Rijndael é usado no modo CBC com um vetor de inicialização baseado na linha BXCODE INIT e uma chave obtida no BXCODE corta sua senha do sistema e o sal que foi gerado anteriormente.



Figura 17. Função de criptografia

Pouco antes do início da criptografia de arquivos, o sinal "start" é enviado na solicitação POST do protocolo HTTP. Durante o processo de criptografia, se o tamanho do conteúdo do arquivo de origem exceder 40.960 bytes, o arquivo será truncado para esse tamanho. Uma extensão é adicionada aos arquivos, mas não .FTCODE, como nas versões anteriores do ransomware, mas uma que foi gerada aleatoriamente anteriormente e que foi enviada ao servidor atacante como o valor do parâmetro ext.



Figura 18. Arquivos criptografados

E depois que a solicitação POST do protocolo HTTP é enviada com um sinal de "concluído" e o número de arquivos criptografados.



Figura 19. O código principal do criptografador

Lista completa de extensões de arquivos criptografadas no computador da vítima:
"* .sql""* .mp4""* .7z""* .rar""* .m4a""* .wma"
"* .avi""* .wmv""* .csv""* .d3dbsp""* .zip""* .sie"
"* .sum""* .ibank""* .t13""* .t12""* .qdf"
"* .gdb"
"* .tax""* .pkpass""* .bc6""* .bc7""* .bkp""* .qic"
"* .bkf""* .sidn""* .sidd""* .mddata""* .itl""* .itdb"
"* .icxs""* .hvpl""* .hplg""* .hkdb""* .mdbackup""* .syncdb"
"* .gho""* .cas""* .svg""* .map""* .wmo""* .itm"
"* .sb""* .fos""* .mov""* .vdf""* .ztmp""* .sis"
"* .sid""* .ncf""* .menu""* .layout""* .dmp""* .blob"
"* .esm""* .vcf""* .vtf""* .dazip""* .fpk""* .mlx"
"* .kf""* .iwd""* .vpk""* .tor""* .psk""* .rim"
"* .w3x""* .fsh""* .ntl""* .arch00""* .lvl""* .snx"
"* .cfr""* .ff""* .vpp_pc""* .lrf""* .m2""* .mcmeta"
"* .vfs0""* .mpqge""* .kdb""* .db0""* .dba""* .rofl"
"* .hkx""* .bar""* .upk""* .das""* .iwi""* .litemod"
"* .asset""* .forge""* .ltx""* .bsa""* .apk""* .re4"
"* .sav""* .lbf""* .slm""* .bik""* .epk""* .rgss3a"
"* .pak""* .big""* carteira""* .wotreplay""* .xxx""* .desc"
"* .py""* .m3u""* .flv""* .js""* .css""* .rb"
"* .png""* .jpeg""* .txt""* .p7c""* .p7b""* .p12"
"* .pfx""* .pem""* .crt""* .cer""* .der""* .x3f"
"* .srw""* .pef""* .ptx""* .r3d""* .rw2""* .rwl"
"* .raw""* .raf""* .orf""* .nrw""* .mrwref""* .mef"
"* .erf""* .kdc""* .dcr""* .cr2""* .crw""* .bay"
"* .sr2""* .srf""* .arw""* .3fr""* .dng""* .jpe"
"* .jpg""* .cdr""* .indd""* .ai""* .eps""* .pdf"
"* .pdd""* .psd""* .dbf""* .mdf""* .wb2""* .rtf"
"* .wpd""* .dxg""* .xf""* .dwg""* .pst""* .accdb"
"* .mdb""* .pptm""* .pptx""* .ppt""* .xlk""* .xlsb"
"* .xlsm""* .xlsx""* .xls""* .wps""* .docm""* .docx"
"* .doc""* .odb""* .odc""* .odm""* .odp""* .ods"
"* .odt"

Depois de criptografar os arquivos, o arquivo de texto READ_ME_NOW.htm é criado no computador da vítima, o que explica o que precisa ser feito para restaurar o conteúdo dos arquivos.



Figura 20. Atacando um invasor

Como você pode ver, para cada vítima é criado um link exclusivo que contém o identificador do arquivo C: \ Users \ Public \ OracleKit \ w00log03.tmp e, se estiver danificado ou excluído, existe o risco de não recuperar os dados criptografados. Um link com um formulário para descriptografar arquivos e exigir um resgate está disponível neste link no Navegador Tor. A recompra inicial é de US $ 500 e aumenta com o tempo.



Figura 21. Solicitação de resgate

Shutdown


Depois que os arquivos da vítima são criptografados, o FTCODE exclui os dados que poderiam ser usados ​​para recuperar os arquivos criptografados.



Figura 22. Excluindo dados

Conclusão


Esse malware consiste em um carregador de inicialização na forma de código VBS e uma carga útil na forma de código do PowerShell. Uma imagem JPEG é usada para mascarar a infecção. As funções do malware estão instalando o conhecido carregador de inicialização JasperLoader e criptografando os arquivos da vítima para resgate, além de roubar todas as contas e senhas de navegadores populares e clientes de email.
A ameaça considerada é detectada pelo sistema de análise de tráfego de rede PT NAD como FTCODE.

Além disso, o PT NAD armazena tráfego de rede, o que ajudará a descriptografar os arquivos das vítimas desse ransomware.

COI


6bac6d1650d79c19d2326719950017a8
bf4b8926c121c228aff646b258a4541e
banda [.] positivelifeology [.] com
mobi [.] confessyoursins [.] mobi
surv [.] surviveandthriveparenting [.] com
food [.] kkphd [.] com

Postado por Dmitry Makarov, Positive Technologies

Source: https://habr.com/ru/post/pt484204/

More articles:


All Articles