Вымогатель Magniber заражает пользователей Windows JavaScript-файлами

Вымогатель Magniber заражает пользователей Windows JavaScript-файлами

Вымогатель Magniber заражает пользователей Windows JavaScript-файлами

Новая кампания операторов программы-вымогателя Magniber нацелена на домашних пользователей Windows. Атакующие используют старый прием — фейковые обновления антивируса, подсовывая JavaScript-файлы.

В сентябре злоумышленники создали веб-сайты, на которых предлагались фейковые обновления антивирусов и других защитных средств для Windows 10. В результате пользователь мог загрузить ZIP-архивы, содержащие файлы JavaScript, которые запускали цепочку заражения шифровальщиком.

В отчете исследователей из HP отмечается, что операторы Magniber требуют 2500 долларов за дешифратор, восстанавливающий файлы. Используемая версия вымогателя работает исключительно на Windows 10 и Windows 11. В последней кампании злоумышленники переключились с файлов формата MSI и EXE на JavaScript:

  • SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js
  • SYSTEM.Security.Database.Upgrade.Win10.0.jse
  • Antivirus_Upgrade_Cloud.29229c7696d2d84.jse
  • ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js

Эти обфусцированные файлы используют технику “DotNetToJScript” для выполнения .NET-файла в памяти системы. Такой подход снижает риски детектирования антивирусными продуктами. .NET-файл расшифровывает шелл-код, который использует собственную обертку для незаметной инъекции в новый процесс.

Все теневые копии, само собой, удаляются. Помимо этого, вредонос отключает функции создания резервных копий. Контроль учетных записей в Windows (UAC) также легко обходится, что позволяет вымогателю спокойно выполнять свои функции в системе.

 

Изначально авторы Magniber задумывали шифрование лишь отдельных типов файлов, но из-за несовершенной генерации псевдохеша вредонос шифрует и другие типы файлов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

В мессенджерах в 10 раз выросло число фейковых аккаунтов известных людей

В России резко увеличилось количество мошеннических схем с использованием поддельных страниц известных людей. Как сообщил заместитель Председателя Правления Сбербанка Станислав Кузнецов на форуме «Диалог о фейках 3.0», с начала октября зафиксирован десятикратный рост попыток обмана через мессенджеры.

Злоумышленники создают фейковые аккаунты политиков, бизнесменов, топ-менеджеров и других публичных персон, используя их фото и настоящие имена.

Самая распространённая схема — «фейк босс», когда мошенники рассылают сообщения якобы от имени руководителя. Такие письма могут получать как знакомые и коллеги жертвы, так и совершенно посторонние люди, чья профессиональная сфера совпадает с областью деятельности поддельного «отправителя».

По словам Кузнецова, мошенники всё чаще используют нейросети и дипфейки, создавая реалистичные видео и аудиосообщения. Это делает обман особенно убедительным и усложняет его распознавание.

«Если вы получили сообщение якобы от известного лица, с которым никогда не общались, и речь идёт о деньгах или личных данных — почти наверняка это мошенники», — отметил он.

Эксперт советует внимательно проверять дату создания аккаунта и время последнего обновления имени пользователя. Эти признаки помогают вовремя выявить подделку.

Кузнецов также призвал сообщать о подозрительных профилях в службы поддержки мессенджеров, чтобы предотвратить дальнейшую активность преступников.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru