in

sadsad

Magniber ransomware – Στοχεύει χρήστες Windows με ψεύτικα security updates!

Προωθούν ψεύτικες ενημερώσεις ασφαλείας και antivirus για τα Windows 10

Ερευνητές ανακάλυψαν μια νέα κακόβουλη καμπάνια διανομής του Magniber ransomware σε απλούς χρήστες των Windows με ψεύτικα security updates.

Οι εγκληματίες του κυβερνοχώρου δημιούργησαν τον Σεπτέμβριο κάποια sites που προωθούσαν ψεύτικες ενημερώσεις ασφαλείας και antivirus για τα Windows 10. Ωστόσο, αν ο χρήστης κατέβαζε στον υπολογιστή του αυτές τις υποτιθέμενες ενημερώσεις, κατέβαζε κακόβουλα αρχεία ZIP που περιείχαν JavaScript και μόλυναν το σύστημα με το Magniber ransomware.

  • Μια αναφορά από την ομάδα αναλυτών της HP σημειώνει ότι οι χειριστές του Magniber ransomware ζήτησαν έως και 2.500 $ από οικιακούς χρήστες για να τους δώσουν ένα εργαλείο αποκρυπτογράφησης ώστε να ανακτήσουν τα αρχεία τους. Αυτή η έκδοση του ransomware στοχεύει αποκλειστικά Windows 10 και Windows 11 builds.

Δεν είναι η πρώτη φορά που το Magniber ransomware απασχολεί την ερευνητική κοινότητα. Τον Απρίλιο του 2022, το Magniber μόλυνε συστήματα, μεταμφιεσμένο σε ενημέρωση των Windows 10. Και πάλι η διανομή γινόταν μέσω κακόβουλων ιστότοπων.

Τον Ιανουάριο, οι χειριστές του χρησιμοποίησαν ενημερώσεις για τους Chrome και Edge browsers για να προωθήσουν κακόβουλα Windows application package files (.APPX).

Magniber ransomware: Πώς γίνεται η μόλυνση σε αυτή τη νέα καμπάνια;

Σε αυτή τη νέα καμπάνια, οι χειριστές του ransomware χρησιμοποίησαν αρχεία JavaScript με τα ακόλουθα ονόματα:

  • SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js
  • SYSTEM.Security.Database.Upgrade.Win10.0.jse
  • Antivirus_Upgrade_Cloud.29229c7696d2d84.jse
  • ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js

Αυτά τα αρχεία είναι obfuscated και χρησιμοποιούν μια παραλλαγή της τεχνικής “DotNetToJScript” για την εκτέλεση ενός αρχείου .NET στη μνήμη του συστήματος. Με αυτό τον τρόπο, μειώνει τον κίνδυνο εντοπισμού του από προϊόντα προστασίας από ιούς.

Το αρχείο .NET αποκωδικοποιεί τον shellcode που χρησιμοποιεί το δικό του wrapper για τη δημιουργία κρυφών syscalls και τον εισάγει σε μια νέα διαδικασία πριν τερματίσει τη δική του.

Το shellcode διαγράφει shadow copy files μέσω WMI και απενεργοποιεί τις δυνατότητες δημιουργίας αντιγράφων ασφαλείας και ανάκτησης μέσω των “bcdedit” και “wbadmin”. Αυτό είναι ένα σημαντικό βήμα γιατί χωρίς αντίγραφα ασφαλείας, τα θύματα θα πρέπει να πληρώσουν τα λύτρα αν θέλουν να ανακτήσουν τα αρχεία τους.

Για να εκτελέσει αυτήν την ενέργεια, το Magniber ransomware χρησιμοποιεί μια παράκαμψη για το User Account Control (UAC) feature στα Windows. Βασίζεται σε έναν μηχανισμό που περιλαμβάνει τη δημιουργία ενός νέου registry key που επιτρέπει τον καθορισμό ενός shell command. Αργότερα, εκτελείται το “fodhelper.exe” utility για την εκτέλεση ενός script που στοχεύει στη διαγραφή των shadow copies.

Στο τελικό στάδιο, το Magniber ransomware κρυπτογραφεί τα αρχεία του θύματος και αφήνει σημειώματα λύτρων με οδηγίες για τα λύτρα και τον τρόπο ανάκτησης των κρυπτογραφημένων αρχείων.

Οι αναλυτές της HP παρατήρησαν ότι το Magniber επιχειρεί να περιορίσει την κρυπτογράφηση μόνο σε συγκεκριμένους τύπους αρχείων, ωστόσο λόγω κάποιου σφάλματος, μπορεί να γίνει κρυπτογράφηση και άλλων αρχείων.

Οι οικιακοί χρήστες Windows μπορούν να πάρουν κάποια μέτρα για να προστατευτούν από το Magniber ransomware (και γενικά τις ransomware επιθέσεις). Μπορούν να δημιουργούν τακτικά αντίγραφα ασφαλείας για τα αρχεία τους και να τα διατηρούν σε μια συσκευή αποθήκευσης εκτός σύνδεσης. Πριν επαναφέρουν τα δεδομένα, οι χρήστες θα πρέπει να βεβαιωθούν ότι τα αντίγραφα ασφαλείας τους δεν έχουν μολυνθεί.

Επίσης, είναι σημαντικό να γίνεται τακτική ενημέρωση των συσκευών και των εφαρμογών, να χρησιμοποιείται ένα πρόγραμμα προστασίας από ιούς και να αποφεύγεται η λήψη αρχείων και προγραμμάτων από μη αξιόπιστες πηγές και από emails που φαίνονται ύποπτα.

Δείτε περισσότερα στην έκθεση των αναλυτών της HP.

Αφήστε μια απάντηση

Η ηλ. διεύθυνση σας δεν δημοσιεύεται. Τα υποχρεωτικά πεδία σημειώνονται με *