Cyberteam

  • Home
  • Attività
    • Network Security Assessment
    • Password Hacking
      • Password Intelligence
      • Password Security Management
      • Multi-Factor Authentication
    • Cyber Intelligence
    • Vulnerability Assessment
    • Penetration Testing
    • Spear Phishing
    • Academy
    • Database Health Check
    • Legal 4 Tech
      • Legal 4 Tech
      • AGID/GDPR
    • Digital Forensics
  • Ethical Hacker
    • Lavora con noi
    • Bibliografie hacker
  • CyT per il sociale
  • Contatti
  • CyberNews

Il ransomware Magniber ora infetta gli utenti Windows
tramite file JavaScript

Il ransomware Magniber ora infetta gli utenti Windows
tramite file JavaScript

da Valeria / venerdì, 14 Ottobre 2022 / Pubblicato il Cyber Security

Una recente campagna dannosa che ha distribuito il ransomware Magniber ha preso di mira gli utenti Windows con falsi aggiornamenti di sicurezza.

Gli hacker hanno creato a settembre siti Web che promuovevano falsi antivirus e aggiornamenti di sicurezza per Windows 10. I file dannosi scaricati (archivi ZIP) contenevano codice JavaScript che ha avviato un’intricata infezione di crittografia dei file.

Un rapporto del team di intelligence sulle minacce rileva che gli hacker hanno richiesto il pagamento fino a $ 2.500 per ricevere il codice di decrittazione e recuperare i propri file.

Build di Windows presi di mira da Magniber

Nell’aprile 2022, Magniber è stato distribuito come aggiornamento di Windows 10 tramite una rete di siti Web dannosi. 

A gennaio, i suoi operatori hanno utilizzato gli aggiornamenti del browser Chrome ed Edge per inviare file di pacchetti di applicazioni Windows dannosi (.APPX).

La nuova catena di Magniber

Nella campagna precedente, gli hacker utilizzavano file MSI ed EXE. Attualmente, invece, usano file JavaScript con i seguenti nomi:

  • SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js
  • SYSTEM.Security.Database.Upgrade.Win10.0.jse
  • Antivirus_Upgrade_Cloud.29229c7696d2d84.jse
  • ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js

Questi file sono offuscati e utilizzano una variante della tecnica “DotNetToJScript” per eseguire un file .NET nella memoria di sistema, riducendo il rischio di rilevamento da parte dei prodotti antivirus disponibili sull’host.

Il file .NET decodifica lo shellcode che utilizza il proprio wrapper per effettuare chiamate di sistema furtive e lo inserisce in un nuovo processo prima di terminare il proprio.

Lo shellcode elimina i file di copia shadow tramite WMI e disabilita le funzionalità di backup e ripristino tramite “bcdedit” e “wbadmin”. Avendo un’opzione in meno per recuperare i propri file, l’utente sarà più disposto a pagare.

Per eseguire questa azione, Magniber utilizza un bypass per la funzione User Account Control (UAC) in Windows.

Si basa su un meccanismo che prevede la creazione di una nuova chiave di registro che consente di specificare un comando di shell. In un passaggio successivo, l’utilità “fodhelper.exe” viene eseguita per eseguire uno script per l’eliminazione delle copie shadow.

Processo di bypass dell’UAC
VBScript che elimina le copie shadow e disabilita le funzioni di ripristino

Infine, Magniber crittografa i file sull’host e rilascia le note di riscatto contenenti le istruzioni per la vittima per ripristinare i propri file.

La nuova catena di Magniber

Gli analisti hanno notato che mentre Magniber tenta di limitare la crittografia solo a tipi di file specifici, lo pseudohash che genera durante l’enumerazione non è perfetto, il che si traduce in collisioni di hash e “danni collaterali”, ovvero crittografando anche tipi di file non mirati .

Gli utenti possono difendersi da un attacco ransomware eseguendo backup regolari dei propri file e conservandoli su un dispositivo di archiviazione offline. Ciò consente il ripristino dei dati su un sistema operativo appena installato.

Prima di ripristinare i dati, assicuratevi che i backup non siano stati infettati.

Valeria

Blue Team Inside, si occupa di sicurezza informatica da più di 5 anni, con un occhio di riguardo alla difesa.

Una Padawan Etichal pronta a difendere l’anello più debole della catena…

Attenzione a non sottovalutarla, se finite vittima di una sua campagna di Spear Phishing non potrete scampare.

Tre caratteristiche che la distinguono:

  • La precisione
  • Sempre alla ricerca di imparare cose nuove
  • La sua auto…comprensiva di antenna

Colore preferito? Verde, ovviamente!

Condividi

Che altro puoi leggere

Smart working e cyber security:
la check list per le aziende
Ransomware REvil colpisce
più di 1.000 aziende
Il malware più ricercato del momento:
Trickbot, Emotet e la piaga di Log4j

Categorie

  • Analisi Tecnica
  • Cyber Security
  • Dark Web
  • Data Leak
  • GDPR
  • HACKER
  • Industria 4.0
  • IOT
  • MongoDB
  • Password
  • Ransomware
  • Smartworking

Articoli recenti

  • password intelligence

    Controllo di sicurezza: 13.000 password del governo USA violate in 90 minuti

    Poiché i dipendenti del Dipartimento degli Inte...
  • Fuga di dati: circola un database con 235 milioni di account Twitter

    Dopo che a dicembre è stato messo in vendita un...
  • Codice dannoso su PyPI: attacco alla catena di distribuzione delle build notturne di PyTorch

    Chi ha recentemente installato PyTorch-nightly ...
  • GIFShell – Nuovo attacco che consente agli aggressori di rubare
    i dati utilizzando una GIF dentro Microsoft Teams

    Una nuova tecnica di attacco chiamata “GIFShell...
  • Attacco massivo al gruppo alberghiero IHG
    interrompe i sistemi di prenotazione

    InterContinental Hotels Group (IHG), che possie...
  • SOCIAL

© 2020.Tutti i diritti riservati. EURO INFORMATICA SPA - Viale della Repubblica 63/4, 36066 Sandrigo (VI)
P. IVA/CF 02367910243 - Cap Soc. 100.000 Euro i.v. - REA 0226275 - VI - Reg. Imp. 30100-VI-116

COOKIE POLICY - PRIVACY POLICY

TORNA SU
  • Sei sotto attacco?