Група інтернет-здирників Magniber повернулася на простори Європи. Дослідники безпеки виявили хвилю атак у Twitter.
Magniber використовують широкий спектр загроз для досягнення своїх цілей, але найулюбленіша тактика – це шкідлива реклама. Цього разу програма-вимагач була виявлена у соціальній мережі Twitter. На даний момент жертвами здирників стали користувачі Франції, Італії та Данії. В інструкції користувачам необхідно знайти на своєму пристрої файл READM.html, в якому і будуть вказані шляхи, як можна розблокувати свої файли. Зрозуміло, заплативши при цьому викуп за ключ дешифрування.
Шкідлива реклама пропонує користувачеві завантажити ZIP-файл із підробленим інсталятором програмного забезпечення Microsoft (MSI), який маскується під важливе оновлення для системи безпеки. Це дуже схоже на техніку атаки з використанням шкідливої реклами, задокументовану BlackBerry Research and Intelligence Team у звіті 2021 року.
Процес зараження Magniber PrintNightmare починається, коли жертва натискає на шкідливу рекламу, дозволяючи завантажувачу DLL бути перекинутим на цільову машину.
Завантажувач розпаковує себе та скидає шкідливе корисне навантаження, яке впроваджується у законні процеси Windows, такі як taskhost.exe (хост-процес для файлів EXE та DLL) та dwm.exe (що включає візуальні ефекти на робочому столі). 2021 року Magniber атакували Південну Корею та інші країни Азіатсько-Тихоокеанського регіону за допомогою вразливостей диспетчера черги друку Windows.
Після виникнення цієї загрози провідний фахівець BlackBerry Дмитро Бестужев протестував шкідливу програму за допомогою засобів захисту на основі штучного інтелекту Cylance. За його словами, засіб захисту на основі машинного навчання ефективно впорався із цією загрозою.
«Під час роботи над моделлю загроз і програмами-вимагачами ніколи не зосереджуйтесь виключно на остаточному корисному навантаженні. Ідея полягає в тому, щоб виявляти зловмисників на їх ранніх стадіях, наприклад, під час початкового доступу та розвідки мережі».
Клієнти BlackBerry можуть користатися продуктом CylancePROTECT для захисту кінцевих точок на основі штучного інтелекту, а також платформою керованого виявлення та реагування (MDR) CylanceGUARD, яка знижує ризики, створювані зловмисниками, наприклад, тими, хто стоїть за програмами-вимагачами Magniber. Компанія рекомендує додати блокувальники контекстної реклами як простий метод, що допомагає знизити ризик зараження шкідливою рекламою.
Ви можете допомогти Україні боротися з російськими окупантами. Найкращий спосіб зробити це – пожертвувати кошти Збройним Силам України через Savelife або через офіційну сторінку НБУ.
Читайте також: