Sistemlere Bulaşmak İçin İmzalı APPX Dosyalarını Kullanan Magniber Fidye Yazılımı
Magniber fidye yazılımı, Chrome ve Edge web tarayıcı güncellemeleri gibi görünen kötü amaçlı yazılımları bırakmak için geçerli sertifikalarla imzalanmış Windows uygulama paketi dosyaları (.APPX) kullanılarak tespit edildi.
Bu dağıtım yöntemi, genellikle Internet Explorer güvenlik açıklarından yararlanmaya dayanan bu tehdit aktöründe görülen önceki yaklaşımlardan bir kaymaya işaret eder.
Tarayıcı güncelleme bildirimi
Kore siber güvenlik şirketi AhnLab'daki araştırmacılar, bugün yayınlanan bir raporda, enfeksiyonun bir yük düşürme web sitesini ziyaret ederek başladığını belirtti.
Mağdurların web sitesine nasıl ulaştığı belirsizliğini koruyor. Cazibe, kimlik avı e-postaları, sosyal medyadaki anlık iletiler aracılığıyla gönderilen bağlantılar veya diğer dağıtım yöntemleri yoluyla teslim edilebilir.
Yükü dağıtan URL'lerden ikisi "hxxp://b5305c364336bqd.bytesoh.cam" ve "hxxp://hadhill.quest/376s53290a9n2j"dir, ancak bunlar yalnızca bunlar olmayabilir.
Bu sitelerin ziyaretçileri, Edge/Chrome tarayıcılarını manuel olarak güncellemeleri için bir uyarı alır ve eylemi tamamlamaları için bir APPX dosyası sunulur.
APPX dosyaları, basitleştirilmiş dağıtım ve kurulum için oluşturulan Windows uygulama paketi dosyalarıdır ve geçmişte kötü amaçlı yazılım dağıtımı için çeşitli tehditler tarafından kötüye kullanılmıştır.
Magniber fidye yazılımı durumunda, gizlenmiş APPX dosyası geçerli bir sertifika ile dijital olarak imzalanmıştır, bu nedenle Windows bunları bir uyarı tetiklemeyen güvenilir dosyalar olarak görür.
Tehdit aktörünün APPX dosyalarını kullanma tercihi büyük olasılıkla daha geniş bir kitleye ulaşma ihtiyacından kaynaklanmaktadır, çünkü Internet Explorer'ın pazar payı yok olmaya yüz tutmaktadır.
Yükün düşürülmesi
Kötü amaçlı APPX dosyasının kabul edilmesi, “C:\Program Files\WindowsApps” dizininde 'wjoiyyxzllm.exe' ve 'wjoiyyxzllm.dll' adlı iki dosya oluşturulmasına neden olur.
Bu dosyalar, Magniber fidye yazılımı yükünü getiren, kodunu çözen ve ardından yürüten bir işlevi yürütür.
Sistemdeki verileri şifreledikten sonra tehdit aşağıdaki fidye notunu oluşturur:
Not İngilizce olmasına rağmen, Magniber fidye yazılımının bu günlerde yalnızca Asyalı kullanıcıları hedef aldığını belirtmekte fayda var.
Şu anda bu kötü amaçlı yazılım tarafından kilitlenen dosyaların şifresini ücretsiz olarak çözme imkanı yoktur.
Çoğu fidye yazılımı operasyonunun aksine, Magniber çifte gasp taktiğini benimsemedi, bu nedenle sistemleri şifrelemeden önce dosyaları çalmaz.
Verileri düzenli olarak yedeklemek, Magniber gibi düşük seviyeli fidye yazılımlarıyla yapılan saldırılardan kurtulmak için iyi bir çözümdür.
Siber dünyadaki gelişmelerden haberdar olmak ve haftalık haber bültenine ulaşmak için e-posta listesine kaydolun.
Haber bültenine kaydolduğunuz için teşekkürler!
Something went wrong.
