云计算安全企业Zscaler于上周警告,自2013年就现身的勒索软件FTCode在最新的版本中添增了凭证窃取功能,会在加密受害者文件之前,先自各大浏览器及电子邮件客户端程序窃取网络服务的登录凭证。
根据Zscaler威胁情报团队ThreatLabZ的说明,他们曾经分析从1001.7到1117.1的FTCode版本,而在最新的FTCode 1117.1中,黑客变更了入侵受害者系统的方式,另外也添增了凭证窃取功能。
FTCode初期是通过附带恶意宏文件的电子邮件入侵用户计算机,而最近的FTCode版本则是在邮件中提供一个VBScript连接,一旦用户执行了该VBScript,就会启动PowerShell脚本程序,表面上是下载了一个图片文件,但其实是在背后下载并执行勒索软件。
该恶意程序还会在系统的启动文件夹中创建一个捷径,以于每次重启计算机时自动执行,它会搜索所有可用空间大于50KB的磁盘,然后加密这些磁盘中的文件。
最新的FTCode 1117.1还有凭证窃取功能,可用来窃取存放在IE、Firefox或Chrome中的网络服务凭证,也会窃取Thunderbird及Outlook等电子邮件客户端的凭证。
研究人员表示,与传统通过编译的恶意程序相较,以脚本语言撰写的FTCode具备许多优势,它让作者可更容易地增加或移除功能,也使得相关的攻击行动更具弹性。