Solitamente i ransomware vengono utilizzati per colpire le aziende. Gli autori di Magniber preferiscono invece gli utenti privati. I ricercatori di HP ha descritto una nuova campagna che sfrutta falsi aggiornamenti per Windows 10 e 11 per distribuire il malware. Il metodo è simile a quello scoperto a fine aprile, ma i cybercriminali hanno modificato la catena di infezione.
Ransomware in update fake di Windows
Nella precedente campagna erano stati utilizzati file EXE e MSI. Ora vengono invece sfruttati file JavaScript con nomi ingannevoli (ad esempio “software upgrade” o “critical upgrade“) che vengono inseriti in archivi ZIP distribuiti tramite siti controllati dai cybercriminali. Tramite una variazione della tecnica DotNetToJScript, l’eseguibile .NET viene caricato in memoria. Ciò permette di aggirare la protezione dei tool che monitorano la scrittura su disco.
La catena di infezione prevede quindi l’iniezione dello shellcode in un altro processo, la cancellazione delle copie shadow dei file, la disattivazione delle funzionalità di backup e ripristino. Per eseguire queste due ultime operazioni viene aggirato il controllo account utente. L’ultimo step consiste nella cifratura dei file e la visualizzazione nel browser delle istruzioni da seguire per pagare il riscatto (fino a 2.500 dollari in Bitcoin).
Il primo consiglio per evitare rischi è ovviamente quello di scaricare gli aggiornamenti solo da Windows Update. Gli utenti devono inoltre effettuare backup frequenti da conservare offline. Infine è sempre meglio installare una soluzione di sicurezza che rileva e blocca i ransomware.