Le ransomware FTCODE s’attaque aux navigateurs web

Les nouvelles versions du ransomware FTCODE récupèrent les données sensibles stockées sur Internet Explorer, Mozilla Firefox, Mozilla Thunderbird, Google Chrome et Microsoft Outlook.

FTCODE, un ransomware PowerShell qui cible les utilisateurs italophones, a de nouvelles fonctionnalités. Il peut maintenant récupérer les données sensibles sauvegardées par les navigateurs web et les clients de messagerie.

PowerShell est un langage de programmation orienté objet et un interpréteur de commandes (shell) interactif pour Windows et Windows Server. Il a été conçu pour automatiser les tâches système, telles que le traitement par lots, et pour créer des outils d’administration de systèmes pour les processus courants mis en oeuvre.

Le langage PowerShell ressemble beaucoup à Perl. Il comprend plus de 130 outils de ligne de commande standard pour des fonctions qui obligeaient précédemment les utilisateurs à écrire des scripts en VB, VBScript ou C#.

Le ransomware FTCODE est apparu pour la première fois en 2013 mais de nouveaux échantillons ont été observé en Septembre 2019. Après l’analyse de ces échantillons, les chercheurs que de nouvelles versions du ransomware s’attaquaient aux données sensibles de navigateurs web (Internet Explorer, Mozilla Firefox, Google Chrome) et de clients de messagerie électronique (Mozilla Thunderbird, Microsoft Outlook).

“La campagne du ransomware FTCODE change rapidement,” ont déclaré les chercheurs de Zscaler dans leur analyse. “A cause du langage de script dans lequel il est écrit, il offre plusieurs avantages aux hackers, leur permettant d’ajouter ou de supprimer des fonctionnalités ou de faire des changements plus facilement que sur les malware traditionnels.”

Nous ne savons pas combien de victimes ont été ciblé par cette récente campagne de FTCODE.

La chaîne d’attaque de FTCODE

La chaîne d’attaque de FTCODE commençait avec des spams envoyés aux victimes ciblés. Ces spams contenaient des documents avec des macros malveillantes qui téléchargeaient le ransomware. Cependant, dans de récentes campagnes, des liens VBScripts sont utilisés pour télécharger FTCODE. Une fois que l’utilisateur exécute le VBScript, il exécute ensuite un script PowerShell qui télécharge et ouvre une image qui sert de leurre (l’image est sauvegardée dans le dossier %TEMP%).

Cette image se fait passé pour un aperçu de prix, elle se nomme ‘Dettaglio dei costi’ (‘détails des coûts’ en Français). Le but de cette image est de convaincre les utilisateurs qu’ils ont simplement reçu une image. Cependant, en arrière plan, le ransomware est téléchargé dans le dossier %Public%\Libraries\WindowsIndexingService.vbs et est exécuté.

Le ransomware lance ensuite une recherche pour trouver tout les disques de stockage avec au moins 50 Kb d’espace libre et commence le chiffrement des fichiers avec les extensions suivantes:

FTCODE

Vol de données sensibles

Une fois téléchargée, FTCODE récupère l’historique de navigation de Internet Explorer et déchiffre les données stockées dans les informations du registre (HKCU:\Software\Microsoft\Internet Explorer\IntelliForms\Storage2).

Pour Mozilla Firefox et Thunderbird, le script vérifie 4 chemins de dossiers et récupère les données sensibles à l’intérieur de ces derniers (\Program Files\Mozilla Firefox, \Program Files\Mozilla Thunderbird, \Program Files (x86)\ Mozilla Firefox, \Program Files (x86)\Mozilla Thunderbird). Pour Google Chrome, le ransomware dérobe les données dans le fichier \%UserProfile%\AppData\Local\Google\Chrome\User Data\*\Login Data.

Et dans Microsoft Outlook, le ransomware accède aux clés de registres suivantes pour dérober des données sensibles:

  • HKCU:\Software\Microsoft\Windows NT\CurrentVersion\Windows Messaging Subsystem\Profiles\*\9375CFF0413111d3B88A00104B2A6676\*
  • HKCU:\Software\Microsoft\Office\1[56].0\Outlook\Profiles\*\9375CFF0413111d3B88A00104B2A6676\*
FTCODE

Après le chiffrement, le ransomware dépose la demande de rançon “READ_ME_NOW.htm” dans le répertoire qui contient les fichiers chiffrés. La demande de rançon donnes des instructions pour télécharger un navigateur Tor et ordonne de suivre les instructions sur le navigateur pour les prochaines étapes.

Les attaques de ransomware peuvent être très dommageable pour les entreprises. Différents types de ransomware sont créés et ils continuent d’évoluer pour mettre à jour leur ciblage et leurs fonctionnalités.

Cette tendance vers des méthodes plus créatives de piratage est la raison pour laquelle il faut que nos mesures préventives évoluent aussi et pas seulment pour restaurer les fichiers après que l’infection se soit produite.

Si cet article vous a plu, jetez un œil à notre article précédent.

Poster un Commentaire

avatar
  S’abonner  
Notifier de