Контакты
Подписка 2024
DCAP и DLP
13 марта. Защита корпоративных данных: достаточно ли внедрить DCAP и DLP?
Представляйте решения на онлайн-конференции!

Поддельные обновления Windows заражают пользователей через файлы JavaScript

14/10/22

beware-fake-windows-11-update-malware

По словам исследователей HP, вредоносная кампания по доставке программы-вымогателя Magniber нацелена на пользователей Windows с поддельными обновлениями безопасности.

Вредоносные обновления распространяются через пиратские сайты , предлагающие ключи активации для ПО, передает Securitylab. Каким образом потенциальные жертвы заманиваются на вредоносные страницы, неизвестно. Загруженные вредоносные ZIP-архивы содержат JavaScript-файлы, которые инициируют заражение вредоносным ПО, шифрующим файлы.

В отчете HP отмечается, что операторы Magniber требуют от жертв плату в размере до $2500 за получение дешифратора и восстановление своих файлов. Кроме того, Magniber нацелен на сборки Windows 10 и Windows 11 .

В предыдущих кампаниях злоумышленники использовали файлы MSI и EXE. Сейчас хакеры переключились на файлы JavaScript со следующими именами:

  • SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js;
  • SYSTEM.Security.Database.Upgrade.Win10.0.jse;
  • Antivirus_Upgrade_Cloud.29229c7696d2d84.jse;
  • ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js.

JavaScript-файлы запутаны и используют вариант инструмента « DotNetToJScript » для выполнения .NET-файла в системной памяти, что снижает риск обнаружения антивирусными продуктами на хосте. .NET-файл декодирует шелл-код и внедряет его в новый процесс.

Затем шелл-код удаляет файлы теневого копирования и отключает функции резервного копирования и восстановления. Для выполнения этого действия Magniber использует обход функции контроля учетных записей (UAC) в Windows. Это увеличивает шансы на получение выкупа, поскольку у жертв меньше возможностей восстановить свои файлы.

В конечном итоге, Magniber шифрует файлы на хосте и загружает заметку о выкупе.

По словам аналитиков HP, Magniber шифрует только определенные типы файлов, но «псевдохэш», который он генерирует во время перечисления, приводит к коллизиям хэш-функций и шифрованию также нецелевых типов файлов.

Темы:УгрозыHPJavaScriptобновленияWindows 11
Российские платформы виртуализации
21 марта. Российские платформы виртуализации: безопасность, производительность, совместимость
Участвуйте и представляйте решения!
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
14 марта. Автоматизация реагирования на инциденты по информационной безопасности
Участвуйте!

Еще темы...

More...