Magniber infetta Windows 10 e 11 con update fasulli

Magniber infetta Windows 10 e 11 con update fasulli

Il ransomware Magniber viene nascosto in falsi aggiornamenti di Windows 10 e 11 distribuiti tramite siti controllati dai cybercriminali.
Il ransomware Magniber viene nascosto in falsi aggiornamenti di Windows 10 e 11 distribuiti tramite siti controllati dai cybercriminali.

Solitamente i ransomware vengono utilizzati per colpire le aziende. Gli autori di Magniber preferiscono invece gli utenti privati. I ricercatori di HP ha descritto una nuova campagna che sfrutta falsi aggiornamenti per Windows 10 e 11 per distribuire il malware. Il metodo è simile a quello scoperto a fine aprile, ma i cybercriminali hanno modificato la catena di infezione.

Ransomware in update fake di Windows

Nella precedente campagna erano stati utilizzati file EXE e MSI. Ora vengono invece sfruttati file JavaScript con nomi ingannevoli (ad esempio “software upgrade” o “critical upgrade“) che vengono inseriti in archivi ZIP distribuiti tramite siti controllati dai cybercriminali. Tramite una variazione della tecnica DotNetToJScript, l’eseguibile .NET viene caricato in memoria. Ciò permette di aggirare la protezione dei tool che monitorano la scrittura su disco.

La catena di infezione prevede quindi l’iniezione dello shellcode in un altro processo, la cancellazione delle copie shadow dei file, la disattivazione delle funzionalità di backup e ripristino. Per eseguire queste due ultime operazioni viene aggirato il controllo account utente. L’ultimo step consiste nella cifratura dei file e la visualizzazione nel browser delle istruzioni da seguire per pagare il riscatto (fino a 2.500 dollari in Bitcoin).

Il primo consiglio per evitare rischi è ovviamente quello di scaricare gli aggiornamenti solo da Windows Update. Gli utenti devono inoltre effettuare backup frequenti da conservare offline. Infine è sempre meglio installare una soluzione di sicurezza che rileva e blocca i ransomware.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: HP
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 13 ott 2022
Link copiato negli appunti