.png?w=696&ssl=1 "Magniber Ransomware JavaScript'i Windows Kullanıcılarına Saldırmak İçin Silahlandırıyor")
Son zamanlarda, HP’nin tehdit istihbarat ekibindeki güvenlik araştırmacıları, tehdit aktörlerinin Magniber fidye yazılımları dağıttığı ve Windows Home kullanıcılarını hedef alan sahte güvenlik güncellemelerinin yardımıyla kötü niyetli bir kampanya keşfettiler.
Eylül 2022’de tehdit aktörleri tarafından bir dizi sahte web sitesi oluşturuldu. Bu sahte web sitelerinde, tehdit aktörleri tarafından sahte antivirüs ve Windows 10 için güvenlik güncellemeleri tanıtıldı ve dağıtıldı.
JavaScript olarak indirilen dosya şifreleyen kötü amaçlı yazılımın dağıtımıyla karmaşık bir bulaşma zinciri başlar.
Magniber ransomware operatörleri, ev kullanıcılarının dosyalarını kurtarabilmek için bir şifre çözme aracı almak için kurbanlardan 2.500 dolara kadar bir ödeme talep etti.
Hedeflenen Sürümler
Bu zorlama, yalnızca şu anda indirilebilen Windows 10 ve Windows 11 yapılarına odaklanır. Aşağıda, Windows 10 ve Windows 11’in tüm hedeflenen sürümlerinden bahsettik: –
| Sürüm Kodu | İsim | Yayın tarihi |
| 17134 | Windows 10, Sürüm 1803 | 30 Nisan 2018 |
| 17763 | Windows 10, Sürüm 1809 | 13 Kasım 2018 |
| 18362 | Windows 10, Sürüm 1903 | 21 Mayıs 2019 |
| 18363 | Windows 10, Sürüm 1909 | 12 Kasım 2019 |
| 19041 | Windows 10, Sürüm 2004 | 27 Mayıs 2020 |
| 19042 | Windows 10, Sürüm 20H2 | 20 Ekim 2020 |
| 19043 | Windows 10, Sürüm 21H1 | 18 Mayıs 2021 |
| 19044 | Windows 10, Sürüm 21H2 | 16 Kasım 2021 |
| 20348 | Windows Server 2022, Sürüm 21H2 | 18 Ağustos 2021 |
| 22000 | Windows 11, Sürüm 21H2 | 4 Ekim 2021 |
| 22610 | Windows 11 İçeriden Önizleme | 29 Nisan 2022 |
| 22621 | Windows 11, Sürüm 22H2 | 20 Eylül 2022 |
| 25115 | Windows 11 İçeriden Önizleme | 11 Mayıs 2022 |
| 25145 | Windows 11 İçeriden Önizleme | 22 Haziran 2022 |
| 25163 | Windows 11 İçeriden Önizleme | 20 Temmuz 2022 |
Enfeksiyon Zinciri
Tehdit aktörünün önceki kampanyalarında MSI ve EXE dosyalarını kullandığını belirtmek önemlidir. En son sürüm, aşağıdaki şekilde adlandırılan JavaScript dosyalarına dayanıyordu: –
- SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js
- SYSTEM.Security.Database.Upgrade.Win10.0.jse
- Antivirus_Upgrade_Cloud.29229c7696d2d84.jse
- ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js
Bu saldırıda kullanılan dosyalar gizlenir ve “DotNetToJScript” tekniğinin bir varyasyonunu kullanarak sistem belleğinde bir .NET dosyası yürütürler. Sonuç olarak, ana bilgisayarın anti-virüs ürünlerinin bu saldırıyı algılama olasılığı daha düşüktür.
.NET dosyası, kendi sürecini sonlandırmadan önce, kodunu çözdüğü kabuk kodunu, kendi sarmalayıcısını kullanarak gizli sistem çağrıları yapan yeni bir komut dosyasına enjekte eder.
Windows Kullanıcı Hesabı Denetimi özelliği için bir atlama kullanan Magniber, bu eylemi gerçekleştirmek için bu seçenekten yararlanabilir. Bunu gerçekleştirmek için, kullanıcının çalıştırılması gereken kabuk komutunu belirtmesine izin vermek için bir kayıt defteri anahtarı oluşturulmalıdır.
Ardından, bir sonraki adımda “fodhelper.exe” yardımcı programı gibi gölge kopyaları silmek için işlemin ilerleyen aşamalarında bir VBScript komut dosyası yürütülür.
Her şey yerine oturduğunda, Magniber fidye yazılımı dosyaları şifrelemeye başlar ve ardından fidye notunu ana bilgisayara bırakır. Ancak, Magniber’ın yalnızca belirli dosya türlerini şifrelediği bulunmuştur.
Öneri
Aşağıda tüm önerilerden bahsettik: –
- Yönetici hesaplarını yalnızca ihtiyacınız olduğunda kullanın.
- Yazılımınızı güncellemenin en güvenilir yolu, onu yetkili bir kaynaktan indirmektir.
- Verilerinizi düzenli olarak yedeklediğinizden emin olun.
Ayrıca Okuyun: Fidye Yazılım Saldırı Müdahalesi ve Azaltma Kontrol Listesi