È stata identificata una variante del ransomware Magniber che utilizza file del pacchetto dell’applicazione Windows (in formato .APPX), firmati con certificati validi, per rilasciare il malware camuffato come aggiornamento dei browser Chrome ed Edge.
Il ransomware, già monitorato dai ricercatori di sicurezza ASEC, si distingueva nel panorama delle cyber minacce per la sua capacità di sfruttare le vulnerabilità di Internet Explorer per la sua distribuzione. La nuova tecnica diffusiva adottata dall’attore della minaccia potrebbe essere probabilmente guidata dalla necessità di estendere il bacino delle potenziali vittime in considerazione della graduale dismissione di Internet Explorer.
Indice degli argomenti
Un finto aggiornamento come esca
Secondo il rapporto degli esperti coreani, la procedura per la diffusione di Magniber avrebbe inizio visitando un sito web allestito appositamente per il rilascio del carico utile, il cui indirizzo verrebbe probabilmente propinato tramite e-mail e/o messagistica di phishing.
I visitatori di questi siti (hxxp://b5305c364336bqd.bytesoh.cam, hxxp://hadhill.quest/376s53290a9n2j), una volta dentro, riceverebbero una notifica per aggiornare manualmente il proprio browser Edge/Chrome e verrebbe offerto loro un file APPX per completare l’operazione.
I file APPX, lo ricordiamo, sono file del pacchetto di applicazioni Windows creati per installazioni semplificate che già in passato sono stati sfruttati come vettori in varie campagne malware. In questo caso specifico, però, i file APPX essendo firmati digitalmente con un certificato valido, riuscirebbero ad ingannare il sistema operativo Windows, il quale ritenendoli attendibili non attiverebbe alcun avviso.
![[V3] Edge, Chrome 웹 브라우저를 통해 유포되는 Magniber 랜섬웨어 탐지 영상](https://www.cybersecurity360.it/wp-content/plugins/wp-youtube-lyte/lyteCache.php?origThumbUrl=https%3A%2F%2Fi.ytimg.com%2Fvi%2Fe-8y0UValUw%2F0.jpg)
La catena d’infezione di Magniber
Sempre secondo la ricostruzione fatta dai ricercatori di sicurezza, la catena d’infezione avrebbe inizio con l’accettazione del file APPX malevolo che comporta la creazione di due file nella directory “C:ProgrammiWindowsApps”, rispettivamente un eseguibile wjoiyyxzllm.exe e una DLL wjoiyyxzllm.dll:
- il file .EXE creato (cf16310545bf91d3ded081f9220af7cc) si occuperebbe di caricare il file DLL (wjoiyyxzllm.dll) e di eseguire una funzione specifica (mbenooj);
- il codice della DLL (2a12ea3b7d84d1bd0aad215d024665c) si occuperebbe di scaricare il payload codificato del ransomware e di decodificarlo.
Solo successivamente agli step precedenti, Magniber procederebbe crittografando i file dell’utente e creando una richiesta di denaro per il rispristino.
Come si legge sulla nota di riscatto, a differenza dell’ultima tendenza da parte della maggior parte delle gang ransomware, Magniber non sembra adottare la doppia estorsione, quindi non esfiltrerebbe i dati prima della crittografia.
Soluzioni di mitigazione
Sebbene al momento il ransomware Magniber abbia come target esclusivamente il continente asiatico, non è detto che prossimamente non possa estendere il proprio raggio di azione. In ogni caso, per contrastare o perlomeno mitigare attacchi di questo tipo si suggerisce di intraprendere alcune azioni di sicurezza:
- custodire adeguatamente le copie di sicurezza, adottando strategie di backup secondo la regola 3-2-1 ovvero mantenendo almeno 3 copie dei dati aziendali in 2 formati diversi, con 1 copia offline e posizionata fuori sede. Ciò garantirebbe di poter ripristinare le funzionalità senza dover decrittografare file e pagare alcun riscatto;
- aggiornare periodicamente sistemi e applicazioni, attraverso un piano di gestione delle patch;
- astenersi dall’accedere a siti web non attendibili;
- utilizzare l’autenticazione a più fattori almeno per gli account amministrativi critici;
- segmentare la rete tenendo separati e isolati i sistemi critici;
- integrare nella propria cultura aziendale un adeguato livello di consapevolezza degli utenti in tema di sicurezza IT.
