Các nhà phân tích hiện đã phát hiện ra rằng những kẻ tấn công đằng sau ransomware Magniber, những kẻ đã khai thác các lỗ hổng dựa trên IE cho đến nay, đang nhắm mục tiêu vào PC thông qua các trình duyệt hiện đại như Edge và Chrome. Magniber ransomware được ngụy trang dưới dạng gói cập nhật hợp pháp cho Edge hoặc Chrome và đi kèm dưới dạng file .appx đã ký. Cài đặt “bản cập nhật” này sẽ mã hóa tất cả dữ liệu người dùng và yêu cầu tiền để giải mã.
Magniber là một ransomware đang được phân phối bằng cách sử dụng các lỗ hổng được biết đến trong Internet Explorer từ khá lâu rồi. Tuy nhiên, các nhà phân tích tại Trung tâm Ứng cứu Khẩn cấp Bảo mật AhnLab (ASEC) có trụ sở tại Hàn Quốc đã phát hiện ra rằng Magniber cũng đang được phân phối qua Microsoft Edge và Google Chrome được ngụy trang dưới dạng một gói cập nhật hợp pháp.
Phần mềm tống tiền Magniber lây nhiễm vào các máy tính dễ bị tấn công chạy Edge và Chrome dưới dạng gói cập nhật trình duyệt. Phần mềm độc hại được phân phối dưới dạng gói cập nhật .appx đã ký với chứng chỉ hợp lệ. Điều này có nghĩa là Windows giả định đây là một ứng dụng hợp lệ và tiến hành cài đặt. Sau khi được cài đặt, gói .appx độc hại tạo ra hai file – wjoiyyxzllm.dll và wjoiyyxzllm.exe – trong một đường dẫn không phải mô tả trong C:\Progam Files\WindowsApps. Như hầu hết người dùng sẽ biết, đây thực sự là một thư mục được bảo vệ chỉ để chứa các ứng dụng Microsoft Store đã được ký hợp lệ.
wjoiyyxzllm.exe tải wjoiyyxzllm.dll và thực thi một chức năng lạ gọi là “mbenooj”. File DLL tải xuống tải trọng ransomware và giải mã nó. Sau đó, ransomware Magniber được thực thi từ bộ nhớ của wjoiyyxzllm.exe và mã hóa các file của người dùng. Sau đó, một thông báo đòi tiền chuộc được hiển thị yêu cầu chuyển tiền để giải mã dữ liệu.
Mặc dù Magniber không được biết là ăn cắp bất kỳ file nào, nhưng hiện tại không thể giải mã và khôi phục chức năng mà không trả tiền chuộc (điều này giả sử rằng khóa giải mã thậm chí được cung cấp khi thanh toán ngay từ đầu).
Do đó, không cần phải nói rằng người dùng nên cẩn thận khi tải xuống các file từ nhiều nguồn khác nhau. Ngay cả các file .appx đã ký cũng có thể tiềm ẩn nguy hiểm khi được lấy từ các nguồn chưa được xác minh. Đảm bảo rằng dữ liệu quan trọng của bạn luôn được sao lưu và các định nghĩa về phần mềm bảo mật của bạn được cập nhật.
Bạn cũng có thể sử dụng chức năng Controlled Folder Access của Windows Defender để ngăn truy cập trái phép vào các file quan trọng.
Nguồn : ASEC
![[Cảnh báo] Ứng dụng bảo mật Android hàng nghìn lượt cài đặt là phần mềm độc hại (Malware)](https://bigtop.vn/blog/wp-content/uploads/2022/01/android-toxic.jpg)
