ransomware

Recientemente, los investigadores de seguridad del equipo de inteligencia de amenazas de HP descubrieron una campaña maliciosa en la que los actores de amenazas están entregando el ransomware Magniber y con la ayuda de actualizaciones de seguridad fraudulentas dirigidas a los usuarios de Windows Home.

Los actores de amenazas crearon una serie de sitios web falsos en septiembre de 2022. En esos sitios web falsos, los actores de amenazas promovieron y distribuyeron antivirus y actualizaciones de seguridad fraudulentas para Windows 10.

Una cadena de infección compleja comienza con la implementación del malware de cifrado de archivos que se descarga como JavaScript.

Para recibir una herramienta de descifrado para poder recuperar los archivos de los usuarios domésticos, los operadores del ransomware Magniber exigieron un pago de hasta 2500 dólares a las víctimas.

Versiones dirigidas

Esta variedad se enfoca exclusivamente en las compilaciones de Windows 10 y Windows 11 que actualmente están disponibles para descargar. A continuación, mencionamos todas las versiones específicas de Windows 10 y Windows 11:

Código de versiónNombreFecha de lanzamiento
17134Windows 10, versión 180330 de abril de 2018
17763Windows 10, versión 180913 de noviembre de 2018
18362Windows 10, versión 190321 de mayo de 2019
18363Windows 10, versión 190912 de noviembre de 2019
19041Windows 10, versión 200427 de mayo de 2020
19042Windows 10, versión 20H220 de octubre de 2020
19043Windows 10, versión 21H118 de mayo de 2021
19044Windows 10, versión 21H216 de noviembre de 2021
20348Windows Server 2022, versión 21H218 de agosto de 2021
22000Windows 11, versión 21H24 de octubre de 2021
22610Vista previa de Windows 11 Insider29 de abril de 2022
22621Windows 11, versión 22H220 de septiembre de 2022
25115Vista previa de Windows 11 Insider11 de mayo de 2022
25145Vista previa de Windows 11 Insider22 de junio de 2022
25163Vista previa de Windows 11 Insider20 de julio de 2022

Cadena de infección

Es importante tener en cuenta que el actor de amenazas usó archivos MSI y EXE en su campaña anterior. Si bien la versión más reciente se basó en archivos JavaScript denominados de la siguiente manera:

  • SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js
  • SISTEMA.Seguridad.Base de datos.Actualización.Win10.0.jse
  • Antivirus_Upgrade_Cloud.29229c7696d2d84.jse
  • ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js

Los archivos que se utilizan en este ataque están ofuscados y ejecutan un archivo .NET en la memoria del sistema utilizando una variación de la técnica «DotNetToJScript». En consecuencia, es menos probable que los productos antivirus del host detecten este ataque.

Antes de finalizar su propio proceso, el archivo .NET inyecta el shellcode que decodifica en un nuevo script que realiza llamadas al sistema sigilosas utilizando su propio contenedor.

Usando un bypass para la función de Control de cuentas de usuario de Windows, Magniber puede aprovechar esta opción para realizar esta acción. Para realizar esto, se debe crear una clave de registro que permita al usuario especificar el comando de shell que se debe ejecutar. 

Luego, se ejecuta un script de VBScript más adelante en el proceso para eliminar las instantáneas, al igual que la utilidad «fodhelper.exe» en un paso posterior.

Una vez que todo está en su lugar, el ransomware Magniber comienza a cifrar los archivos y luego deja caer la nota de rescate en el host. Sin embargo, se ha descubierto que Magniber solo cifra tipos de archivos específicos.

Recomendación

A continuación hemos mencionado todas las recomendaciones:-

  • Utilice las cuentas de administrador solo cuando las necesite.
  • La forma más confiable de actualizar su software es descargarlo de una fuente autorizada.
  • Asegúrese de hacer una copia de seguridad de sus datos periódicamente.

Fuente y redacción: gbhackers.com

Compartir