Recientemente, los investigadores de seguridad del equipo de inteligencia de amenazas de HP descubrieron una campaña maliciosa en la que los actores de amenazas están entregando el ransomware Magniber y con la ayuda de actualizaciones de seguridad fraudulentas dirigidas a los usuarios de Windows Home.
Los actores de amenazas crearon una serie de sitios web falsos en septiembre de 2022. En esos sitios web falsos, los actores de amenazas promovieron y distribuyeron antivirus y actualizaciones de seguridad fraudulentas para Windows 10.
Una cadena de infección compleja comienza con la implementación del malware de cifrado de archivos que se descarga como JavaScript.
Para recibir una herramienta de descifrado para poder recuperar los archivos de los usuarios domésticos, los operadores del ransomware Magniber exigieron un pago de hasta 2500 dólares a las víctimas.
Versiones dirigidas
Esta variedad se enfoca exclusivamente en las compilaciones de Windows 10 y Windows 11 que actualmente están disponibles para descargar. A continuación, mencionamos todas las versiones específicas de Windows 10 y Windows 11:
| Código de versión | Nombre | Fecha de lanzamiento |
| 17134 | Windows 10, versión 1803 | 30 de abril de 2018 |
| 17763 | Windows 10, versión 1809 | 13 de noviembre de 2018 |
| 18362 | Windows 10, versión 1903 | 21 de mayo de 2019 |
| 18363 | Windows 10, versión 1909 | 12 de noviembre de 2019 |
| 19041 | Windows 10, versión 2004 | 27 de mayo de 2020 |
| 19042 | Windows 10, versión 20H2 | 20 de octubre de 2020 |
| 19043 | Windows 10, versión 21H1 | 18 de mayo de 2021 |
| 19044 | Windows 10, versión 21H2 | 16 de noviembre de 2021 |
| 20348 | Windows Server 2022, versión 21H2 | 18 de agosto de 2021 |
| 22000 | Windows 11, versión 21H2 | 4 de octubre de 2021 |
| 22610 | Vista previa de Windows 11 Insider | 29 de abril de 2022 |
| 22621 | Windows 11, versión 22H2 | 20 de septiembre de 2022 |
| 25115 | Vista previa de Windows 11 Insider | 11 de mayo de 2022 |
| 25145 | Vista previa de Windows 11 Insider | 22 de junio de 2022 |
| 25163 | Vista previa de Windows 11 Insider | 20 de julio de 2022 |
Cadena de infección
Es importante tener en cuenta que el actor de amenazas usó archivos MSI y EXE en su campaña anterior. Si bien la versión más reciente se basó en archivos JavaScript denominados de la siguiente manera:
- SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js
- SISTEMA.Seguridad.Base de datos.Actualización.Win10.0.jse
- Antivirus_Upgrade_Cloud.29229c7696d2d84.jse
- ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js
Los archivos que se utilizan en este ataque están ofuscados y ejecutan un archivo .NET en la memoria del sistema utilizando una variación de la técnica «DotNetToJScript». En consecuencia, es menos probable que los productos antivirus del host detecten este ataque.
Antes de finalizar su propio proceso, el archivo .NET inyecta el shellcode que decodifica en un nuevo script que realiza llamadas al sistema sigilosas utilizando su propio contenedor.
Usando un bypass para la función de Control de cuentas de usuario de Windows, Magniber puede aprovechar esta opción para realizar esta acción. Para realizar esto, se debe crear una clave de registro que permita al usuario especificar el comando de shell que se debe ejecutar.
Luego, se ejecuta un script de VBScript más adelante en el proceso para eliminar las instantáneas, al igual que la utilidad «fodhelper.exe» en un paso posterior.
Una vez que todo está en su lugar, el ransomware Magniber comienza a cifrar los archivos y luego deja caer la nota de rescate en el host. Sin embargo, se ha descubierto que Magniber solo cifra tipos de archivos específicos.
Recomendación
A continuación hemos mencionado todas las recomendaciones:-
- Utilice las cuentas de administrador solo cuando las necesite.
- La forma más confiable de actualizar su software es descargarlo de una fuente autorizada.
- Asegúrese de hacer una copia de seguridad de sus datos periódicamente.
