Ransomware FTCODE incluye una nueva funcionalidad para exfiltrar información.
- Publicado: 23/01/2020
- Importancia: Media
- Recursos afectados
FTCODE fue descubierto en 2013 por analistas e investigadores de malware, en la actualidad realiza 4 fases durante el ataque. En la fase inicial es difundido a través de correos electrónicos con un fichero VBScript, cuando la víctima ejecuta este fichero, descarga una imagen señuelo y un fichero adicional; la segunda fase corresponde a la comunicación con el servidor de comando y control a partir de la ejecución del script que realiza la tarea de exfiltrar credenciales de acceso. La fase tres cumple con la acción de cifrar la información y finalmente se genera una nota de rescate con el proceso para la recuperación de esta.
Entre las capacidades que se identificaron en el análisis del ransomware se destacan las siguientes:
PowerShell: potente e interactiva interfaz de línea de comandos incluida en el sistema operativo Windows, permite descubrir información del equipo y ejecutar código.
Scripting: secuencias de comandos útiles para agilizar tareas operativas y reducir el tiempo requerido para acceder a recursos críticos del equipo.
Ejecución de usuario: aprovecha las acciones más comunes realizadas por un usuario para camuflar la ejecución de cualquier tipo de malware.
Este es un breve resumen por el equipo del Csirt, para conocer el análisis, correlación, estrategias de mitigación y seguimiento a la alerta, afíliese al Csirt Financiero Asobancaria y contáctenos [email protected]
- Etiquetas