Los analistas ahora han descubierto que los atacantes detrás del ransomware Magniber, que hasta ahora han estado explotando las vulnerabilidades basadas en IE, ahora apuntan a las PC a través de navegadores modernos como Edge y Chrome
El ransomware Magniber está disfrazado como un paquete de actualización legítimo para Edge o Chrome y viene como un archivo .appx firmado. La instalación de esta "actualización" cifrará todos los datos del usuario y exigirá dinero para el descifrado. Magniber es un ransomware que se distribuye utilizando vulnerabilidades conocidas en Internet Explorer desde hace bastante tiempo. Sin embargo, los analistas del AhnLab Security Emergency Response Center (ASEC) con sede en Corea del Sur han descubierto que Magniber también se distribuye a través de Microsoft Edge y Google Chrome disfrazado como un paquete de actualización legítimo.
El ransomware Magniber infecta las PC vulnerables que ejecutan Edge y Chrome en forma de un paquete de actualización del navegador. El malware se distribuye como un paquete de actualización .appx firmado con un certificado válido. Esto significa que Windows asume que se trata de una aplicación válida y continúa con la instalación. Una vez instalado, el paquete malicioso .appx crea dos archivos, wjoiyyxzllm.dll y wjoiyyxzllm.exe, en una ruta no descrita dentro de C:\Program Files\WindowsApps. Como sabrán la mayoría de los usuarios, en realidad se trata de una carpeta protegida destinada únicamente a contener aplicaciones de Microsoft Store debidamente firmadas.
wjoiyyxzllm.exe carga wjoiyyxzllm.dll y ejecuta una extraña función llamada "mbenooj". El archivo DLL descarga la carga útil del ransomware y la decodifica. Después de esto, el ransomware Magniber se ejecuta desde la memoria de wjoiyyxzllm.exe y cifra los archivos del usuario. Luego se muestra una nota de rescate que exige una transferencia de dinero para descifrar los datos.
Aunque no se sabe que Magniber robe ningún archivo, actualmente no es posible descifrar y restaurar la funcionalidad sin pagar el rescate (esto suponiendo que la clave de descifrado se proporcione incluso en el momento del pago en primer lugar).
Por lo tanto, no hace falta decir que los usuarios deben tener cuidado al descargar archivos de varias fuentes. Incluso los archivos .appx firmados pueden ser potencialmente peligrosos cuando se obtienen de fuentes no verificadas. Asegúrese de que sus datos críticos estén siempre respaldados y que las definiciones de su software de seguridad estén actualizadas.
También puede usar la función de acceso controlado a carpetas de Windows Defender para evitar el acceso no autorizado a archivos críticos. Para obtener más información, consulte nuestro tutorial sobre cómo habilitar el acceso controlado a carpetas en Windows 10.
Historias relacionadas:
BlackCat : aterriza el nuevo malware ransomware basado en Rust
EE. UU. Otorgará a los ataques de ransomware una prioridad similar a la del terrorismo
Microsoft : lanzó nueva capacidades para defender y reparar Log4j
Nuevo malware de Android acechara a los clientes brasileños de un banco
Nuevo malware tiene como finalidad dirigirse a los fanáticos de NFT y criptografía en Discord
[Fuente]: notebookcheck.net
VISHNU_KV.( 17 de Enero de 2022).38 images. [Fotografía]. Modificado por Carlos Zambrado Recuperado de pixabay.com
