Magniber Ransomware ilk olarak 2017’nin sonlarında tespit edildi; Magnitude Exploit Kit’i kullanarak kötü amaçlı reklamcılık saldırıları yoluyla Güney Koreli kullanıcıları hedef aldı. Daha önce Internet Explorer(IE) güvenlik açıkları aracılığıyla dağıtılmıştı.
AhnLab’ın bildirdiğine göre Microsoft, IE’nin desteğinin sona erdiğini duyurduğundan beri, artık Edge ve Chrome tarayıcılarında adını Windows güvenlik güncelleme paketi (ex_ERROR.Center.Security.msi) olarak değiştirerek dağıtılıyor.
O zamandan beri, yeni şaşırtma stratejileri ve kaçınma teknikleri benimseyerek gelişmeye devam etti.
Nisan 2022’de fidye yazılımı, bir Windows güncelleme dosyası kılığına girerek kurbanları onu yüklemeye ikna ederek dikkatleri üzerine çekti.
Hackerlar Magniber Fidye Yazılımını Getiriyor
Magniber fidye yazılımı çalışan bir işleme fidye yazılımı enjekte ederek çalışan işlemin kullanıcının dosyalarını şifrelemesine neden olur.
Sürekli bulaşma için görev zamanlayıcıyı kaydeder ve kurtarmayı imkansız hale getirmek için birim gölge kopyasını siler.
Ayrıca, Windows Defender Kontrollü Klasör Erişimi komutu Powershell üzerinden yürütülür.
Magniber Ransomware, kullanıcının dosyasını şifreler ve şifrelenmiş dosyanın bulunduğu yolda bir fidye notu (readme.htm) oluşturur.
Dosyayı kurtarmak için kullanıcıyı “tor tarayıcı” aracılığıyla URL’ye erişmeye yönlendirir. Erişilen sayfa aşağıda gösterildiği gibidir ve dosyayı kurtarmak için Bitcoin gerektirir.
Magniber, Chrome ve Edge tarayıcılarının en son Windows sürümlerinin kullanıcılarına şu adresten dağıtılıyor: Etki alanı yazım hatalarından yararlanan Typosquatting.
IOC’ler
[Magniber behavior diagnosis]
– Ransom/MDP.Magniber.M4687 (2022.08.03.03)
– Ransom/MDP.Magniber.M4683 (2022.07.19.00)
[Magniber file diagnosis] – Ransomware/Win.Magniber.R592250 (2023.07.18.03)
[Magniver msi MD5]
f5dd30f503577071499a241532479279
[C2 URL]
hxxp://146[.]19[.]106[.]31/ceggfnhm.msi
Bizi GoogleNews, Linkedin üzerinden takip ederek en son Siber Güvenlik Haberleri hakkında bilgi sahibi olun. twitterve Facebook.