示意圖,Photo by CMDR Shane on unsplash

雲端資安業者Zscaler於上周警告,自2013年就現身的勒索軟體FTCode在最新的版本中添增了憑證竊取功能,會在加密受害者檔案之前,先自各大瀏覽器及電子郵件客戶端程式竊取網路服務的登入憑證。

根據Zscaler威脅情報團隊ThreatLabZ的說明,他們曾經分析從1001.7到1117.1的FTCode版本,而在最新的FTCode 1117.1中,駭客變更了入侵受害者系統的方式,另外也添增了憑證竊取功能。

FTCode初期是透過夾帶惡意巨集文件的電子郵件入侵使用者電腦,而最近的FTCode版本則是在郵件中提供一個VBScript連結,一旦使用者執行了該VBScript,就會啟動PowerShell腳本程式,表面上是下載了一個圖檔,但其實是在背後下載並執行勒索軟體。

該惡意程式還會在系統的啟動文件夾中建立一個捷徑,以於每次重啟電腦時自動執行,它會搜尋所有可用空間大於50KB的磁碟,然後加密這些磁碟中的檔案。

最新的FTCode 1117.1還有憑證竊取功能,可用來竊取存放在IE、Firefox或Chrome中的網路服務憑證,也會竊取Thunderbird及Outlook等電子郵件客戶端的憑證。

研究人員表示,與傳統透過編譯的惡意程式相較,以腳本語言撰寫的FTCode具備許多優勢,它讓作者可更容易地增加或移除功能,也使得相關的攻擊行動更具彈性。


Advertisement

更多 iThome相關內容