Notebookcheck Logo

El ransomware Magniber se propaga bajo la apariencia de una actualización legítima de Microsoft Edge y Google Chrome

El ransomware Magniber se hace pasar por un paquete de actualización legítimo de Edge o Chrome. (Fuente de la imagen: Unsplash)
El ransomware Magniber se hace pasar por un paquete de actualización legítimo de Edge o Chrome. (Fuente de la imagen: Unsplash)
Los analistas han descubierto que los atacantes que están detrás del ransomware Magniber, que han estado explotando las vulnerabilidades basadas en IE hasta ahora, ahora se dirigen a los PC a través de navegadores modernos como Edge y Chrome. El ransomware Magniber se disfraza como un paquete de actualización legítimo para Edge o Chrome y viene como un archivo firmado .appx. Al instalar esta "actualización" se cifran todos los datos del usuario y se pide dinero para descifrarlos.

Magniber es un ransomware que se está distribuyendo utilizando vulnerabilidades conocidas en Internet Explorer desde hace tiempo. Sin embargo, los analistas del Centro de Respuesta a Emergencias de Seguridad AhnLab (ASEC), con sede en Corea del Sur, han descubierto ahora que Magniber también se distribuye a través de Microsoft Edge y Google Chrome disfrazado de paquete de actualización legítimo.

El ransomware Magniber infecta los ordenadores vulnerables que ejecutan Edge y Chrome en forma de paquete de actualización del navegador. El malware se distribuye como un paquete de actualización .appx firmado con un certificado válido. Esto significa que Windows asume que se trata de una aplicación válida y procede a su instalación. Una vez instalado, el paquete malicioso .appx crea dos archivos - wjoiyyxzllm.dll y wjoiyyxzllm.exe - en una ruta no descriptiva dentro de C:N-Archivos de ProgramaN-Aplicaciones de Windows. Como la mayoría de los usuarios sabrán, esta es en realidad una carpeta protegida destinada únicamente a contener aplicaciones de la Microsoft Store debidamente firmadas.

wjoiyyxzllm.exe carga wjoiyyxzllm.dll y ejecuta una extraña función llamada "mbenooj". El archivo DLL descarga la carga útil del ransomware y la descodifica. Después de esto, el ransomware Magniber se ejecuta desde la memoria de wjoiyyxzllm.exe y cifra los archivos del usuario. A continuación, se muestra una nota de rescate exigiendo la transferencia de dinero para descifrar los datos.

Aunque se sabe que Magniber no roba ningún archivo, actualmente no es posible descifrar y restaurar la funcionalidad sin pagar el rescate (esto es suponiendo que la clave de descifrado se proporcione incluso al pagar en primer lugar)

Por lo tanto, no hace falta decir que los usuarios deben tener cuidado al descargar archivos de diversas fuentes. Incluso los archivos .appx firmados pueden ser potencialmente peligrosos si se obtienen de fuentes no verificadas. Asegúrese de que sus datos críticos estén siempre respaldados y de que las definiciones de su software de seguridad estén actualizadas.

También puede utilizar la función de acceso controlado a carpetas de Windows Defender para evitar el acceso no autorizado a los archivos críticos. Para obtener más información, consulte nuestro tutorial sobre cómo activar el Acceso controlado a carpetas en Windows 10.

El ransomware Magniber se disfraza como un paquete de actualización .appx legítimo para Edge y Chrome. (Fuente de la imagen: ASEC)
El ransomware Magniber se disfraza como un paquete de actualización .appx legítimo para Edge y Chrome. (Fuente de la imagen: ASEC)
El ransomware Magniber mostrando el mensaje de cifrado. (Fuente de la imagen: ASEC)
El ransomware Magniber mostrando el mensaje de cifrado. (Fuente de la imagen: ASEC)

Fuente(s)

Please share our article, every link counts!
Mail Logo
> Análisis y pruebas de ordenadores portátiles y móviles teléfonos > Noticias > Archivo de noticias > Archivo de noticias 2022 01 > El ransomware Magniber se propaga bajo la apariencia de una actualización legítima de Microsoft Edge y Google Chrome
Vaidyanathan Subramaniam, 2022-01-17 (Update: 2024-08-15)