最近的一次恶意活动提供了 Magniber 勒索软件,目标是使用虚假安全更新的 Windows 家庭用户。
威胁攻击者在 9 月创建的网站宣传 Windows 10 的虚假防病毒和安全更新。下载的恶意文件(ZIP 档案)包含引发复杂感染文件加密恶意软件的 JavaScript。
惠普威胁情报团队的一份报告 指出,Magniber 勒索软件运营商要求家庭用户支付高达 2,500 美元的费用,以接收解密工具并恢复他们的文件。该压力明确地集中在 Windows 10 和 Windows 11 版本上。
2022 年 4 月,Magniber 被视为 通过恶意网站网络 作为Windows 10 更新分发。
1 月份,其运营商使用Chrome 和 Edge 浏览器更新来推送恶意 Windows 应用程序包文件 (.APPX)。
Magniber 的新感染链
在之前的活动中,攻击者使用了 MSI 和 EXE 文件。最近,它切换到具有以下名称的 JavaScript 文件:
- SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js
- SYSTEM.Security.Database.Upgrade.Win10.0.jse
- Antivirus_Upgrade_Cloud.29229c7696d2d84.jse
- ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js
这些文件经过混淆处理,并使用“DotNetToJScript”技术的变体在系统内存中执行 .NET 文件,从而降低主机上可用的防病毒产品检测到的风险。
.NET 文件对使用自己的包装器进行隐蔽系统调用的 shellcode 进行解码,并在终止自己的进程之前将其注入新进程。
shellcode 通过 WMI 删除卷影副本文件,并通过“bcdedit”和“wbadmin”禁用备份和恢复功能。这增加了获得报酬的机会,因为受害者恢复文件的选择减少了。
为了执行此操作,Magniber 使用绕过 Windows 中的用户帐户控制 (UAC) 功能。
它依赖于一种机制,该机制涉及创建允许指定 shell 命令的新注册表项。在稍后的步骤中,执行“fodhelper.exe”实用程序以运行用于删除卷影副本的脚本。
最后,Magniber 对主机上的文件进行加密,并丢弃包含受害者恢复文件指令的赎金记录。
惠普的分析师注意到,虽然 Magniber 试图将加密仅限于特定的文件类型,但它在枚举过程中生成的伪哈希并不完美,这会导致哈希冲突和“附带损害”,即加密非目标文件类型.
家庭用户可以通过定期备份文件并将其保存在离线存储设备上来防御勒索软件攻击。这允许将数据恢复到新安装的操作系统上。
在恢复数据之前,用户应该确保他们的备份没有被感染。
转载请注明:VPS资讯_海外云服务器资讯_海外服务器资讯_IDC新闻 » Magniber勒索软件现在通过JavaScript文件感染Windows用户
