Поддельные обновления Windows заражают пользователей через файлы JavaScript

Windows Microsoft Magniber обновление JavaScript DotNetToJScript
Поддельные обновления Windows заражают пользователей через файлы JavaScript
Windows Microsoft Magniber обновление JavaScript DotNetToJScript

Любители пиратских сборок оказываются в ловушке злоумышленников.

По словам исследователей HP, вредоносная кампания по доставке программы-вымогателя Magniber нацелена на пользователей Windows с поддельными обновлениями безопасности.

Вредоносные обновления распространяются через пиратские сайты , предлагающие ключи активации для ПО. Каким образом потенциальные жертвы заманиваются на вредоносные страницы, неизвестно. Загруженные вредоносные ZIP-архивы содержат JavaScript-файлы, которые инициируют заражение вредоносным ПО, шифрующим файлы.

В отчете HP отмечается, что операторы Magniber требуют от жертв плату в размере до $2500 за получение дешифратора и восстановление своих файлов. Кроме того, Magniber нацелен на сборки Windows 10 и Windows 11 .


Сборки Windows, на которые нацелен Magniber

В предыдущих кампаниях злоумышленники использовали файлы MSI и EXE. Сейчас хакеры переключились на файлы JavaScript со следующими именами:

  • SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js;
  • SYSTEM.Security.Database.Upgrade.Win10.0.jse;
  • Antivirus_Upgrade_Cloud.29229c7696d2d84.jse;
  • ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js.

JavaScript-файлы запутаны и используют вариант инструмента « DotNetToJScript » для выполнения .NET-файла в системной памяти, что снижает риск обнаружения антивирусными продуктами на хосте. .NET-файл декодирует шелл-код и внедряет его в новый процесс.

Затем шелл-код удаляет файлы теневого копирования и отключает функции резервного копирования и восстановления. Для выполнения этого действия Magniber использует обход функции контроля учетных записей (UAC) в Windows. Это увеличивает шансы на получение выкупа, поскольку у жертв меньше возможностей восстановить свои файлы.

В конечном итоге, Magniber шифрует файлы на хосте и загружает заметку о выкупе.

Цепочка заражения Magniber

По словам аналитиков HP, Magniber шифрует только определенные типы файлов, но «псевдохэш», который он генерирует во время перечисления, приводит к коллизиям хэш-функций и шифрованию также нецелевых типов файлов.

Ученые доказали: чтение нашего канала продлевает жизнь!

Ладно, не доказали. Но мы работаем над этим

Поучаствуйте в эксперименте — подпишитесь