Yakın tarihli bir analiz, Magniber fidye yazılımının, yazılım güncellemeleri gibi görünerek ev kullanıcılarını hedef aldığını gösteriyor.
Raporlar, Eylül 2022’de HP Wolf Security tarafından izole edilen bir fidye yazılımı kampanyasının Magniber fidye yazılımı yayıldığını gösteriyor. Kötü amaçlı yazılım, kurbanlardan 2.500 dolar talep eden tek istemcili bir fidye yazılımı ailesi olarak biliniyor.
Önceki haberlerde, Magniber öncelikle MSI ve EXE dosyaları aracılığıyla yayıldı, ancak Eylül 2022’de HP Wolf Security, fidye yazılımını JavaScript dosyalarında dağıtan kampanyalar görmeye başladı.
HP Wolf Security kötü amaçlı yazılım analisti Patrick Schläpfer, “Vjw0rm ve GootLoader gibi bazı kötü amaçlı yazılım aileleri yalnızca JavaScript’e güveniyor, ancak bunu bir süredir yapıyorlar” dedi. Bilgi güvenliği. “Şu anda, Qakbot ve IcedID gibi daha fazla HTML kaçakçılığı da görüyoruz. Bu teknik, kötü amaçlı içeriğin kodunu çözmek için JavaScript’i de kullanır. Tek fark, HTML dosyasının tarayıcı bağlamında yürütülmesi ve bu nedenle genellikle daha fazla kullanıcı etkileşimi gerektirmesidir”
HP Wolf Security, saldırganların, bellekte fidye yazılımını çalıştırmak, Windows’ta Kullanıcı Hesabı Denetimini (UAC) atlamak ve standart yerine sistem çağrıları kullanarak kullanıcı modu kancalarını izleyen algılama tekniklerini atlamak gibi algılamadan kaçınmak için akıllı teknikler kullandığını söyledi. Windows API kitaplıkları.
Görünen o ki, UAC bypass ile kötü amaçlı yazılım, etkilenen sistemin gölge kopya dosyalarını siliyor ve yedekleme ve kurtarma özelliklerini devre dışı bırakarak kurbanın Windows araçlarını kullanarak verilerini kurtarmasını engelliyor.
Yakın tarihli bir röportajda fidye yazılımı kampanyasını kısa süre önce açıklayan HP Wolf, enfeksiyon zincirinin, saldırgan tarafından kontrol edilen bir web sitesinden bir web indirmesiyle başladığını kaydetti.
Ayrıca, kullanıcıdan önemli bir anti-virüs veya Windows 10 yazılım güncellemesi olduğu iddia edilen bir JavaScript dosyası içeren bir ZIP dosyası indirmesi istenir.
Ayrıca, Magniber’ın dosyalara erişmesi ve dosyaları engellemesi için, yönetici ayrıcalıklarına sahip bir Windows hesabında yürütülmesi gerekir – bu, kişisel sistemlerde çok daha yaygın olan bir erişim düzeyidir.
Schläpfer, “Tüketiciler, ‘en az ayrıcalık’ ilkelerini izleyerek kendilerini koruyabilirler – yalnızca kesinlikle ihtiyaç duyulduğunda yönetici hesaplarıyla oturum açarak ve günlük kullanım için başka bir hesap oluşturarak,” diye açıklıyor Schläpfer. “Kullanıcılar ayrıca, güncellemelerin yalnızca güvenilir kaynaklardan yüklendiğinden emin olarak, resmi satıcı web sitelerinin kullanıldığından emin olmak için URL’leri kontrol ederek ve olası bir veri ihlalinin etkisini en aza indirmek için verileri düzenli olarak yedekleyerek riski azaltabilir.”
Sonuç olarak şirket, bu fidye yazılımının Big Game Hunting kategorisine girmediğini ancak yine de ciddi hasara yol açabileceğini kaydetti.
Schläpfer, “Bu, büyük oyun avcılığından uzaklaşma değil, yalnızca işletmelerin fidye yazılımı gruplarının değil, aynı zamanda ev kullanıcılarının da odak noktası olduğunu gösteriyor.” Dedi.