新版FTCode勒索軟體添增憑證竊取功能

雲端資安業者Zscaler於上周警告，自2013年就現身的勒索軟體FTCode在最新的版本中添增了憑證竊取功能，會在加密受害者檔案之前，先自各大瀏覽器及電子郵件客戶端程式竊取網路服務的登入憑證。

根據Zscaler威脅情報團隊ThreatLabZ的說明，他們曾經分析從1001.7到1117.1的FTCode版本，而在最新的FTCode 1117.1中，駭客變更了入侵受害者系統的方式，另外也添增了憑證竊取功能。

FTCode初期是透過夾帶惡意巨集文件的電子郵件入侵使用者電腦，而最近的FTCode版本則是在郵件中提供一個VBScript連結，一旦使用者執行了該VBScript，就會啟動PowerShell腳本程式，表面上是下載了一個圖檔，但其實是在背後下載並執行勒索軟體。

該惡意程式還會在系統的啟動文件夾中建立一個捷徑，以於每次重啟電腦時自動執行，它會搜尋所有可用空間大於50KB的磁碟，然後加密這些磁碟中的檔案。

最新的FTCode 1117.1還有憑證竊取功能，可用來竊取存放在IE、Firefox或Chrome中的網路服務憑證，也會竊取Thunderbird及Outlook等電子郵件客戶端的憑證。

研究人員表示，與傳統透過編譯的惡意程式相較，以腳本語言撰寫的FTCode具備許多優勢，它讓作者可更容易地增加或移除功能，也使得相關的攻擊行動更具彈性。