El ransomware FTCODE vuelve a la actualidad, esta vez con un nuevo conjunto de mejoras para el robo de informaci贸n personal, algunas dirigidas contra navegadores y servicios de correo electr贸nico. Descubierto por primera vez en 2013, se cree que este software malicioso fue creado originalmente por grupos de hackers rusos. R谩pidamente despert贸 el inter茅s de los expertos por su dependencia de PowerShell, un lenguaje de programaci贸n de Microsoft dise帽ado para la automatizaci贸n de tareas y la gesti贸n de redes.
En un principio, el FTCODE hab铆a afectado fundamentalmente a usuarios de habla rusa, pero desde esas primeras infecciones sus operadores han ido ampliado el radio de acci贸n para incluir a v铆ctimas de otros idiomas. En octubre de 2019, el malware reapareci贸 con fuerza, vinculado a campa帽as de suplantaci贸n de identidad y de correo electr贸nico dirigidas contra usuarios italianos. La infecci贸n se transmit铆a por medio de documentos que conten铆an macros maliciosas, uno de los m茅todos comunes con los que este tipo de ciberataques despliegan kits de explotaci贸n.
Seg煤n han descubierto analistas de la firma ThreatLabZ, ahora el malware se est谩 descargando a trav茅s de VBScript otro lenguaje interpretado por el Windows Scripting Host de Microsoft , aunque sigue basado en PowerShell. Los expertos explican que FTCODE var铆a r谩pidamente, ya que fue creado con un dise帽o que permite a los hackers a帽adir o eliminar caracter铆sticas o hacer ajustes mucho m谩s f谩cilmente de lo que es posible con el malware tradicional.
Una de las 煤ltimas versiones conocidas 鈥搇a 1117.1 infecta los equipos a trav茅s de ese mismo vector de ataque: documentos que contienen macros. Sin embargo, estas nuevas macros contienen enlaces disfrazados como un archivo de imagen .JPEG se帽uelo que se almacena en la carpeta %temp% de Windows.
Petici贸n de rescate y futuras infecciones
En muchos aspectos, FTCODE act煤a como el t铆pico ransomware: recaba informaci贸n b谩sica del sistema y la env铆a a un servidor de comando y control (C2) en espera. La persistencia (capacidad de los datos para perdurar) se asegura mediante un archivo de acceso directo en la carpeta de inicio que se ejecuta al reiniciar. FTCODE escanea entonces el sistema infectado en busca de unidades con al menos 50kb de espacio libre y comienza a encriptarlos con extensiones como .das, .rar, .avi, .epk y .docx. A continuaci贸n, se emite una nota de rescate para que el usuario pague una cantidad por recuperar el acceso. En principio la petici贸n inicial es de unos 500 d贸lares, pero aumenta con el tiempo.
Por otro lado, esta 煤ltima versi贸n del malware tambi茅n es capaz de robar las credenciales del navegador y del correo electr贸nico, una mejora significativa introducida por los hackers respecto a anteriores ediciones. La informaci贸n de los navegadores Internet Explorer, Mozilla Firefox y Google Chrome, junto con las credenciales de correo electr贸nico de Microsoft Outlook y Mozilla Thunderbird, pueden ser comprometidas y enviadas a los criminales a trav茅s de la infraestructura de mando y control. Los datos robados son encriptados con base64 y enviados a trav茅s de una petici贸n HTTP POST. Los investigadores a帽aden que el ransomware tambi茅n puede instalar el software JasperLoader, que puede ser utilizado para desplegar cargas maliciosas adicionales.
Panda Security es una empresa especializada en la creaci贸n de productos de seguridad para endpoints que son parte del portfolio de soluciones de seguridad IT de WatchGuard. Centrada inicialmente en la creaci贸n de software antivirus, la compa帽铆a ha ampliado sus objetivos expandiendo su l铆nea de negocio hacia los servicios de ciberseguridad avanzada con tecnolog铆as para la prevenci贸n del cibercrimen.
Tambi茅n te puede interesar
Panda Antivirus Gratis
Soporte T茅cnico GRATUITO
