Вымогатель Magniber заражает пользователей Windows JavaScript-файлами

Вымогатель Magniber заражает пользователей Windows JavaScript-файлами

Вымогатель Magniber заражает пользователей Windows JavaScript-файлами

Новая кампания операторов программы-вымогателя Magniber нацелена на домашних пользователей Windows. Атакующие используют старый прием — фейковые обновления антивируса, подсовывая JavaScript-файлы.

В сентябре злоумышленники создали веб-сайты, на которых предлагались фейковые обновления антивирусов и других защитных средств для Windows 10. В результате пользователь мог загрузить ZIP-архивы, содержащие файлы JavaScript, которые запускали цепочку заражения шифровальщиком.

В отчете исследователей из HP отмечается, что операторы Magniber требуют 2500 долларов за дешифратор, восстанавливающий файлы. Используемая версия вымогателя работает исключительно на Windows 10 и Windows 11. В последней кампании злоумышленники переключились с файлов формата MSI и EXE на JavaScript:

  • SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js
  • SYSTEM.Security.Database.Upgrade.Win10.0.jse
  • Antivirus_Upgrade_Cloud.29229c7696d2d84.jse
  • ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js

Эти обфусцированные файлы используют технику “DotNetToJScript” для выполнения .NET-файла в памяти системы. Такой подход снижает риски детектирования антивирусными продуктами. .NET-файл расшифровывает шелл-код, который использует собственную обертку для незаметной инъекции в новый процесс.

Все теневые копии, само собой, удаляются. Помимо этого, вредонос отключает функции создания резервных копий. Контроль учетных записей в Windows (UAC) также легко обходится, что позволяет вымогателю спокойно выполнять свои функции в системе.

 

Изначально авторы Magniber задумывали шифрование лишь отдельных типов файлов, но из-за несовершенной генерации псевдохеша вредонос шифрует и другие типы файлов.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники создают копии сайтов после открытия аэропорта в Геленджике

Сразу после открытия аэропорта в Геленджике активизировались организаторы фишинговых атак. Злоумышленники создают копии популярных сервисов по продаже авиабилетов, чтобы продавать несуществующие билеты или перехватывать платёжные данные пользователей.

Председатель комитета по повышению финансовой грамотности Ассоциации российских банков (АРБ), эксперт проекта Минфина России «Мои финансы» Максим Семов рассказал «Российской газете», что сайты-двойники начали появляться практически сразу после объявления об открытии аэропорта в Геленджике.

Многие пользователи стали жертвами мошенников на фоне ажиотажа и опасений не успеть купить билеты.

Как сообщает компания F6, фишинговые сайты начали появляться ещё до официального запуска аэропорта. Злоумышленники нередко заставляют жертв устанавливать шпионские приложения, чтобы получить доступ к их финансовым данным.

По словам эксперта, фейковые ресурсы появляются постоянно. Мошенники тщательно копируют дизайн оригинальных платформ, а отличия могут сводиться к одной букве в адресной строке. Максим Семов рекомендует вводить адрес сайта вручную, а не переходить по ссылкам из писем или мессенджеров.

Кроме продажи билетов, злоумышленники предлагают туры и бронирования по заниженным ценам. Нередко они продают путёвки в несуществующие отели и детские лагеря — эта схема активно используется уже не первый год.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru