ارتباطات و فناوري اطلاعات

سرقت گذرواژه‌ها، قابلیت جدید باج‌افزار FTCode

نسخه جدیدی از باج‌افزار FTCode منتشر شده است که علاوه بر رمزگذاری فایل‌ها، اطلاعات احرازهویت مرورگرهای وب و برنامه‌های ایمیل را نیز سرقت می‌کند.

به گزارش پایگاه خبری آرمان اقتصادی از روابط عمومی مرکز مدیریت راهبردی افتا، باج‌‎افزار FTCode از طریق ایمیل‌های اسپم حاوی اسناد Word مخرب، تحت عناوین صورت‌حساب‌های مالی، اسکن اسناد و رزومه افراد، به رایانه قربانی منتقل می‌شود.

باج‌افزار سپس دانلودکننده بدافزار JasperLoader را منتقل کرده و دستگاه را رمزگذاری می‌کند.

باج‌افزار در ادامه، محیط بازیابی ویندوز را غیرفعال می‌کند، همچنین کپی‌های Shadow Volume و فایل‌های پشتیبان را نیز حذف می‌کند تا بازیابی اطلاعات بدون پرداخت باج غیرممکن شود.

پس از رمزگذاری، باج افزار پسوند FTCODE را به فایل‌ها اضافه می‌کند.

بدافزار می‌تواند دستگاه‌های هدف را بدون نیاز به دانلود مولفه‌های اضافی رمزگذاری کند.

عملکرد جدید سرقت اطلاعات در FTCode باعث می‌شود تا قبل از رمزگذاری فایل‌های قربانیان، گذرواژه‌های ذخیره شده در سیستم استخراج شوند.
پایگاه اینترنتی BleepingComputer، نوشته است: نحوه جمع‌آوری گذرواژه‌ها توسط این باج‌افزار به ازای هریک از مرورگرها و یا نرم‌افزارهای مدیریت ایمیل متفاوت است، برای Internet Explorer و Microsoft Outlook دسترسی مستقیم به رجیستری و برای Mozilla Firefox، Mozilla Thunderbird و Google Chrome دسترسی به پوشه‌های حاوی اطلاعات احرازهویت، انجام می‌شوند.

پس از جمع‌آوری اطلاعات، نام‌های کاربری و گذرواژه‌ها به سرقت رفته با Base۶۴ رمزگذاری شده و توسط یک درخواست POST به سرور فرمان و کنترل (C&C) ارسال می‌شوند.

کارشناسان معاونت بررسی مرکز مدیریت افتا از کاربران خواسته اند تا از باز کردن ایمیل‌های اسپم حاوی اسناد Word، تحت عناوین صورت‌حساب‌های مالی، اسکن اسناد و یا رزومه افراد خودداری کنند تا گرفتار باج‌افزار FTCode نشوند.

  کد خبر
443615
کلیدواژه‌ها

اخبار مرتبط

پاسخی بگذارید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *

بستن