O grupo de extorsionários da Internet Magniber voltou à Europa. Pesquisadores de segurança descobriram uma onda de ataques no Twitter.
Magniber usa uma ampla variedade de ameaças para atingir seus objetivos, mas a tática mais popular é a publicidade maliciosa. Desta vez, o ransomware foi descoberto em uma rede social Twitter. No momento, usuários da França, Itália e Dinamarca foram vítimas de extorsionários. Nas instruções, os usuários precisam encontrar o arquivo READM.html em seu dispositivo, que indicará as formas de desbloquear seus arquivos. Claro, pagando o resgate pela chave de descriptografia.
O anúncio malicioso solicita que o usuário baixe um arquivo ZIP contendo um Microsoft Software Installer (MSI) falso disfarçado como uma importante atualização de segurança. Isso é muito semelhante à técnica de ataque de adware documentada pela equipe de pesquisa e inteligência do BlackBerry em um relatório de 2021.
O processo de infecção do Magniber PrintNightmare começa quando a vítima clica em um anúncio malicioso, permitindo que o carregador de DLL seja instalado na máquina de destino.
O carregador se descompacta e lança uma carga maliciosa que se injeta em processos legítimos do Windows, como taskhost.exe (o processo host para arquivos EXE e DLL) e dwm.exe (que inclui efeitos visuais na área de trabalho). Em 2021, Magniber atacou a Coreia do Sul e outros países da região Ásia-Pacífico usando vulnerabilidades no gerenciador de filas de impressão do Windows.
Após o surgimento dessa ameaça, o principal especialista em BlackBerry, Dmytro Bestuzhev, testou o malware usando as defesas baseadas em IA da Cylance. Segundo ele, a ferramenta de proteção baseada em aprendizado de máquina lidou efetivamente com essa ameaça.
“Ao trabalhar em modelagem de ameaças e ransomware, nunca se concentre apenas na carga final. A ideia é detectar os invasores em seus estágios iniciais, como durante o acesso inicial à rede e reconhecimento.”.
Os clientes do BlackBerry podem aproveitar o CylancePROTECT para proteção de endpoint baseada em IA, bem como a plataforma gerenciada de detecção e resposta (MDR) do CylanceGUARD, que reduz os riscos apresentados por invasores, como os responsáveis pelo ransomware Magniber. A empresa recomenda adicionar bloqueadores de anúncios como um método simples para ajudar a reduzir o risco de ser infectado por anúncios maliciosos.
Você pode ajudar a Ucrânia a lutar contra os invasores russos. A melhor maneira de fazer isso é doar fundos para as Forças Armadas da Ucrânia através Salva vida ou através da página oficial NBU.
Leia também: