Go Back   Carder.life > [ru] Forum for Russians > Новости мирового кардинга
Reload this Page Поддельные обновления Windows заражают пользователей через файлы JavaScript

CARDER.MARKET - CARDING FORUM FOR PROFESSIONAL CARDERS


 
 
Thread Tools Display Modes
Prev Previous Post   Next Post Next
  #1  
Old 03-09-2025, 03:20 PM
Artifact's Avatar

Artifact Artifact is offline
Administrator
Join Date: Jan 2024
Posts: 0
Default

Любители пиратских сборок оказываются в ловушке злоумышленников. По словам исследователей HP, вредоносная кампания по доставке программы-вымогателя Magniber нацелена на пользователей Windows с поддельными обновлениями безопасности.
Вредоносные обновления распространяются через пиратские сайты , предлагающие ключи активации для ПО. Каким образом потенциальные жертвы заманиваются на вредоносные страницы, неизвестно. Загруженные вредоносные ZIP-архивы содержат JavaScript-файлы, которые инициируют заражение вредоносным ПО, шифрующим файлы.
В отчете HP отмечается, что операторы Magniber требуют от жертв плату в размере до $2500 за получение дешифратора и восстановление своих файлов. Кроме того, Magniber нацелен на сборки Windows 10 и Windows 11.

Сборки Windows, на которые нацелен Magniber
В предыдущих кампаниях злоумышленники использовали файлы MSI и EXE. Сейчас хакеры переключились на файлы JavaScript со следующими именами:
  • SYSTEM.Critical.Upgrade.Win10.0.ba45bd8ee89b1.js;

  • SYSTEM.Security.Database.Upgrade.Win10.0.jse;

  • Antivirus_Upgrade_Cloud.29229c7696d2d84.jse;

  • ALERT.System.Software.Upgrade.392fdad9ebab262cc97f 832c40e6ad2c.js.

JavaScript-файлы запутаны и используют вариант инструмента « DotNetToJScript » для выполнения .NET-файла в системной памяти, что снижает риск обнаружения антивирусными продуктами на хосте. .NET-файл декодирует шелл-код и внедряет его в новый процесс.
Затем шелл-код удаляет файлы теневого копирования и отключает функции резервного копирования и восстановления. Для выполнения этого действия Magniber использует обход функции контроля учетных записей (UAC) в Windows. Это увеличивает шансы на получение выкупа, поскольку у жертв меньше возможностей восстановить свои файлы.
В конечном итоге, Magniber шифрует файлы на хосте и загружает заметку о выкупе.

Цепочка заражения Magniber
По словам аналитиков HP, Magniber шифрует только определенные типы файлов, но «псевдохэш», который он генерирует во время перечисления, приводит к коллизиям хэш-функций и шифрованию также нецелевых типов файлов.
 

Tags
NULL

« Previous Thread | Next Thread »

Posting Rules
You may not post new threads
You may not post replies
You may not post attachments
You may not edit your posts
BB code is On
Smilies are On
[IMG] code is On
HTML code is On
Forum Jump




All times are GMT. The time now is 06:16 PM.

Contact Us - Carder.life - Archive - Top