Carder.life

Carder.life (http://txgate.io:443/index.php)
-   Новости мирового кардинга (http://txgate.io:443/forumdisplay.php?f=18)
-   -   Поддельные обновления Windows заражают пользователей через файлы JavaScript (http://txgate.io:443/showthread.php?t=11370)

Artifact 03-09-2025 03:20 PM

Любители пиратских сборок оказываются в ловушке злоумышленников. По словам исследователей HP, вредоносная кампания по доставке программы-вымогателя Magniber нацелена на пользователей Windows с поддельными обновлениями безопасности.
Вредоносные обновления распространяются через пиратские сайты , предлагающие ключи активации для ПО. Каким образом потенциальные жертвы заманиваются на вредоносные страницы, неизвестно. Загруженные вредоносные ZIP-архивы содержат JavaScript-файлы, которые инициируют заражение вредоносным ПО, шифрующим файлы.
В отчете HP отмечается, что операторы Magniber требуют от жертв плату в размере до $2500 за получение дешифратора и восстановление своих файлов. Кроме того, Magniber нацелен на сборки Windows 10 и Windows 11.
https://www.securitylab.ru/upload/im...t-img(591).png
Сборки Windows, на которые нацелен Magniber
В предыдущих кампаниях злоумышленники использовали файлы MSI и EXE. Сейчас хакеры переключились на файлы JavaScript со следующими именами:<ul><li>SYSTEM.Critical.Upgrade.Win 10.0.ba45bd8ee89b1.js;</li>
</ul><ul><li>SYSTEM.Security.Database.Upgrade.Win10. 0.jse;</li>
</ul><ul><li>Antivirus_Upgrade_Cloud.29229c7696d2d84 .jse;</li>
</ul><ul><li>ALERT.System.Software.Upgrade.392fdad9e bab262cc97f 832c40e6ad2c.js.</li>
</ul>JavaScript-файлы запутаны и используют вариант инструмента « DotNetToJScript » для выполнения .NET-файла в системной памяти, что снижает риск обнаружения антивирусными продуктами на хосте. .NET-файл декодирует шелл-код и внедряет его в новый процесс.
Затем шелл-код удаляет файлы теневого копирования и отключает функции резервного копирования и восстановления. Для выполнения этого действия Magniber использует обход функции контроля учетных записей (UAC) в Windows. Это увеличивает шансы на получение выкупа, поскольку у жертв меньше возможностей восстановить свои файлы.
В конечном итоге, Magniber шифрует файлы на хосте и загружает заметку о выкупе.
https://www.securitylab.ru/upload/im...t-img(590).png
Цепочка заражения Magniber
По словам аналитиков HP, Magniber шифрует только определенные типы файлов, но «псевдохэш», который он генерирует во время перечисления, приводит к коллизиям хэш-функций и шифрованию также нецелевых типов файлов.


All times are GMT. The time now is 06:19 PM.

Powered by vBulletin® Version 3.8.7
Copyright ©2000 - 2025, vBulletin Solutions, Inc.