Программа-вымогатель Magniber использует JavaScript для атаки на пользователей

Стало известно, что программа-вымогатель Magniber, нацеленная на домашних пользователей, маскируется под обновления программного обеспечения. Кампания программ-вымогателей, изолированная HP Wolf Security в сентябре 2022 года, привела к распространению программы-вымогателя Magniber. Это вредоносное ПО известно как одноклиентское семейство программ-вымогателей, которое требует от жертв 2500 долларов.

Magniber в основном распространялся через файлы MSI и EXE, но в сентябре 2022 года HP Wolf Security начала проводить кампании по распространению программы-вымогателя в файлах JavaScript.

Патрик Шлепфер, аналитик вредоносных программ в HP Wolf Security, прокомментировал:

«Некоторые семейства вредоносных программ, такие как Vjw0rm и GootLoader, полагаются исключительно на JavaScript, но делают это в течение некоторого времени.

В настоящее время мы также наблюдаем рост контрабанды HTML, например, с Qakbot и IcedID. Этот метод также использует JavaScript для декодирования вредоносного контента. Единственное отличие состоит в том, что файл HTML выполняется в контексте браузера и поэтому обычно требует дальнейшего взаимодействия с пользователем».

Примечательно, что, по словам HP Wolf Security, злоумышленники использовали умные методы, чтобы избежать обнаружения, такие как:

• запуск программы-вымогателя в памяти,
• обход контроля учетных записей (UAC) в Windows,
• обход методов обнаружения, которые отслеживают ловушки пользовательского режима, используя системные вызовы вместо стандартных,
• библиотеки API Windows.

Похоже, что при обходе UAC вредоносное ПО удаляет файлы теневой копии зараженной системы и отключает функции резервного копирования и восстановления, не позволяя жертве восстановить свои данные с помощью инструментов Windows.

Описав в недавнем интервью кампанию программ-вымогателей, HP Wolf отметил, что цепочка заражения начинается с загрузки с веб-сайта, контролируемого злоумышленниками. Кроме того, пользователю предлагается загрузить ZIP-файл, содержащий файл JavaScript, который якобы является важным обновлением антивируса или программного обеспечения Windows 10.

Чтобы Magniber мог получить доступ к файлам и заблокировать их, он должен быть запущен с учетной записью Windows с правами администратора (уровень доступа, который гораздо более распространен в персональных системах).

Патрик Шлепфер дал следующие советы:

«Пользователи могут снизить риск, убедившись, что обновления устанавливаются только из надежных источников, проверяя URL-адреса, чтобы убедиться, что используются официальные веб-сайты поставщиков, и регулярно выполняя резервное копирование данных, чтобы свести к минимуму последствия потенциальной утечки данных».

Этот инцидент показывает, что не только предприятия находятся в центре внимания групп вымогателей, но и домашние пользователи. Оставайтесь в безопасности!