El ransomware FTCODE vuelve a la actualidad, esta vez con un nuevo conjunto de mejoras para el robo de información personal, algunas dirigidas contra navegadores y servicios de correo electrónico.
Descubierto por primera vez en 2013, se cree que este software malicioso fue creado originalmente por grupos de hackers rusos. Rápidamente despertó el interés de los expertos por su dependencia de PowerShell, un lenguaje de programación de Microsoft diseñado para la automatización de tareas y la gestión de redes.
En un principio, el FTCODE había afectado fundamentalmente a usuarios de habla rusa, pero desde esas primeras infecciones sus operadores han ido ampliado el radio de acción para incluir a víctimas de otros idiomas. En octubre de 2019, el malware reapareció con fuerza, vinculado a campañas de suplantación de identidad y de correo electrónico dirigidas contra usuarios italianos. La infección se transmitía por medio de documentos que contenían macros maliciosas, uno de los métodos comunes con los que este tipo de ciberataques despliegan kits de explotación.
Según han descubierto analistas de la firma ThreatLabZ, ahora el malware se está descargando a través de VBScript otro lenguaje interpretado por el Windows Scripting Host de Microsoft , aunque sigue basado en PowerShell. Los expertos explican que FTCODE varía rápidamente, ya que fue creado con un diseño que permite a los hackers añadir o eliminar características o hacer ajustes mucho más fácilmente de lo que es posible con el malware tradicional.
Una de las últimas versiones conocidas –la 1117.1 infecta los equipos a través de ese mismo vector de ataque: documentos que contienen macros. Sin embargo, estas nuevas macros contienen enlaces disfrazados como un archivo de imagen .JPEG señuelo que se almacena en la carpeta %temp% de Windows.
Petición de rescate y futuras infecciones
En muchos aspectos, FTCODE actúa como el típico ransomware: recaba información básica del sistema y la envía a un servidor de comando y control (C2) en espera. La persistencia (capacidad de los datos para perdurar) se asegura mediante un archivo de acceso directo en la carpeta de inicio que se ejecuta al reiniciar. FTCODE escanea entonces el sistema infectado en busca de unidades con al menos 50kb de espacio libre y comienza a encriptarlos con extensiones como .das, .rar, .avi, .epk y .docx. A continuación, se emite una nota de rescate para que el usuario pague una cantidad por recuperar el acceso. En principio la petición inicial es de unos 500 dólares, pero aumenta con el tiempo.
Por otro lado, esta última versión del malware también es capaz de robar las credenciales del navegador y del correo electrónico, una mejora significativa introducida por los hackers respecto a anteriores ediciones. La información de los navegadores Internet Explorer, Mozilla Firefox y Google Chrome, junto con las credenciales de correo electrónico de Microsoft Outlook y Mozilla Thunderbird, pueden ser comprometidas y enviadas a los criminales a través de la infraestructura de mando y control. Los datos robados son encriptados con base64 y enviados a través de una petición HTTP POST. Los investigadores añaden que el ransomware también puede instalar el software JasperLoader, que puede ser utilizado para desplegar cargas maliciosas adicionales.