El ransomware FTCODE reaparece con mejoras para el robo de información

  • Endpoint

FTCODE varía rápidamente, ya que fue creado con un diseño que permite a los hackers añadir o eliminar características o hacer ajustes mucho más fácilmente. La última versión del malware es capaz de robar las credenciales del navegador y del correo electrónico.

El ransomware FTCODE vuelve a la actualidad, esta vez con un nuevo conjunto de mejoras dirigidas contra navegadores y servicios de correo electrónico. Descubierto por primera vez en 2013, se cree que este software malicioso fue creado originalmente por grupos de hackers rusos. Rápidamente despertó el interés de los expertos por su dependencia de PowerShell, un lenguaje de programación de Microsoft diseñado para la automatización de tareas y la gestión de redes.

Recomendados: 

Informe IT Trends: 2020, el año de la consolidación digital Leer

Ciberseguridad en 2020, ¿qué podemos esperar? Registro

Tendencias TI 2020, visionando el futuro. Webinar ondemand.

En un principio, el FTCODE había afectado fundamentalmente a usuarios de habla rusa, pero desde esas primeras infecciones sus operadores han ido ampliado el radio de acción para incluir a víctimas de otros idiomas. En octubre de 2019, el malware reapareció vinculado a campañas de suplantación de identidad y de correo electrónico dirigidas contra usuarios italianos. La infección se transmitía por medio de documentos que contenían macros maliciosas.

Según analistas de la firma ThreatLabZ, ahora el malware se está descargando a través de VBScript otro lenguaje interpretado por el Windows Scripting Host de Microsoft, aunque sigue basado en PowerShell. Los expertos explican que FTCODE varía rápidamente, ya que fue creado con un diseño que permite a los hackers añadir o eliminar características o hacer ajustes mucho más fácilmente de lo que es posible con el malware tradicional.

Una de las últimas versiones conocidas infecta los equipos a través de documentos que contienen macros. Sin embargo, estas nuevas macros contienen enlaces disfrazados como un archivo de imagen .JPEG señuelo que se almacena en la carpeta %temp% de Windows.

En muchos aspectos, FTCODE actúa como el típico ransomware: recaba información básica del sistema y la envía a un servidor de comando y control (C2) en espera. El malware escanea entonces el sistema infectado en busca de unidades con al menos 50kb de espacio libre y comienza a encriptarlos con extensiones como .das, .rar, .avi, .epk y .docx. A continuación, se emite una nota de rescate para que el usuario pague una cantidad por recuperar el acceso. En principio la petición inicial es de unos 500 dólares, pero aumenta con el tiempo.

Además, esta última versión del malware también es capaz de robar las credenciales del navegador y del correo electrónico, una mejora significativa introducida por los hackers respecto a anteriores ediciones. La información de los navegadores Internet Explorer, Mozilla Firefox y Google Chrome, junto con las credenciales de correo electrónico de Microsoft Outlook y Mozilla Thunderbird, pueden ser comprometidas y enviadas a los criminales a través de la infraestructura de mando y control. Los datos robados son encriptados con base64 y enviados a través de una petición HTTP POST. Los investigadores añaden que el ransomware también puede instalar el software JasperLoader, que puede ser utilizado para desplegar cargas maliciosas adicionales.

TAGS