15.10.2022 | Поддельные обновления Windows заражают пользователей через файлы JavaScript |
По словам исследователей HP, вредоносная кампания по доставке программы-вымогателя Magniber нацелена на пользователей Windows с поддельными обновлениями безопасности. Вредоносные обновления распространяются через пиратские сайты , предлагающие ключи активации для ПО. Каким образом потенциальные жертвы заманиваются на вредоносные страницы, неизвестно. Загруженные вредоносные ZIP-архивы содержат JavaScript -файлы, которые инициируют заражение вредоносным ПО, шифрующим файлы. В отчете HP отмечается, что операторы Magniber требуют от жертв плату в размере до $2500 за получение дешифратора и восстановление своих файлов. Кроме того, Magniber нацелен на сборки Windows 10 и Windows 11 . Сборки Windows, на которые нацелен Magniber В предыдущих кампаниях злоумышленники использовали файлы MSI и EXE. Сейчас хакеры переключились на файлы JavaScript со следующими именами:
JavaScript-файлы запутаны и используют вариант инструмента « DotNetToJScript » для выполнения .NET-файла в системной памяти, что снижает риск обнаружения антивирусными продуктами на хосте. .NET-файл декодирует шелл-код и внедряет его в новый процесс. Затем шелл-код удаляет файлы теневого копирования и отключает функции резервного копирования и восстановления. Для выполнения этого действия Magniber использует обход функции контроля учетных записей (UAC) в Windows. Это увеличивает шансы на получение выкупа, поскольку у жертв меньше возможностей восстановить свои файлы. В конечном итоге, Magniber шифрует файлы на хосте и загружает заметку о выкупе. Цепочка заражения Magniber По словам аналитиков HP, Magniber шифрует только определенные типы файлов, но «псевдохэш», который он генерирует во время перечисления, приводит к коллизиям хэш-функций и шифрованию также нецелевых типов файлов. |
|
Проверить безопасность сайта
.png)
.png)
