يجد محبو التجمعات المقرصنة أنفسهم في فخ المتسللين.
تستهدف حملة Magniber Ransomware الخبيثة مستخدمي Windows بتحديثات أمنية مزيفة ، وفقًا لباحثي HP. يتم توزيع التحديثات الضارة من خلال مواقع القرصنة التي تقدم مفاتيح تنشيط للبرامج. كيف يتم استدراج الضحايا المحتملين إلى الصفحات الخبيثة غير معروف. تحتوي أرشيفات ZIP الضارة التي تم تنزيلها على ملفات جافا سكريبت التي تؤدي إلى الإصابة بالبرامج الضارة التي تقوم بتشفير الملفات. يشير تقرير HP إلى أن مشغلي Magniber يطلبون من الضحايا دفع ما يصل إلى 2500 دولار للحصول على أداة فك تشفير واستعادة ملفاتهم. بالإضافة إلى ذلك ، يستهدف Magniber إصدارات Windows 10 و Windows 11 .
.png)
1-SYSTEM.Critical.Upgrade.Win10.0.ba45 definitelyee89b1.js؛
2-SYSTEM.Security.Database.Upgrade.Win10.0.jse ؛
3-Antivirus_Upgrade_Cloud.29229c7696d2d84.jse ؛
4-ALERT.System.Software.Upgrade.392fdad9ebab262cc97f832c40e6ad2c.js.
ملفات جافا سكريبت غير واضحة وتستخدم نوعًا مختلفًا من أداة " DotNetToJScript " لتنفيذ ملف .NET في ذاكرة النظام ، مما يقلل من مخاطر اكتشافها بواسطة منتجات مكافحة الفيروسات على المضيف. يقوم ملف .NET بفك تشفير كود القشرة ويحقنه في عملية جديدة.
يقوم كود القشرة بعد ذلك بإزالة ملفات النسخة الاحتياطية وتعطيل وظائف النسخ الاحتياطي والاستعادة. يستخدم Magniber تجاوز التحكم في حساب مستخدم Windows (UAC) لتنفيذ هذا الإجراء. هذا يزيد من فرص الحصول على فدية لأن الضحايا لديهم خيارات أقل لاستعادة ملفاتهم.
في النهاية ، يقوم Magniber بتشفير الملفات الموجودة على المضيف وتنزيل مذكرة الفدية.
.png)
سلسلة عدوى Magniber
وفقًا لمحللي HP ، يقوم Magniber فقط بتشفير أنواع معينة من الملفات ، ولكن "التجزئة الزائفة" التي يتم إنشاؤها أثناء التعداد تؤدي إلى تضارب التجزئة وتشفير أنواع الملفات غير المستهدفة أيضًا.
0 تعليقات