L'ANALISI TECNICA

Magniber, il ransomware che si diffonde come aggiornamento di Edge e Chrome: come difendersi

Magniber è un ransomware che si diffonde camuffato da finti aggiornamenti dei browser Edge e Chrome: i file malevoli sono firmati digitalmente con un certificato valido e per questo riescono a bypassare i controlli di sicurezza di Windows in quanto ritenuti attendibili. Ecco come mitigare il rischio

14 Gen 2022
L
Salvatore Lombardo

Funzionario informatico, Esperto ICT, Socio Clusit e autore

È stata identificata una variante del ransomware Magniber che utilizza file del pacchetto dell’applicazione Windows (in formato .APPX), firmati con certificati validi, per rilasciare il malware camuffato come aggiornamento dei browser Chrome ed Edge.

Il ransomware, già monitorato dai ricercatori di sicurezza ASEC, si distingueva nel panorama delle cyber minacce per la sua capacità di sfruttare le vulnerabilità di Internet Explorer per la sua distribuzione. La nuova tecnica diffusiva adottata dall’attore della minaccia potrebbe essere probabilmente guidata dalla necessità di estendere il bacino delle potenziali vittime in considerazione della graduale dismissione di Internet Explorer.

Un finto aggiornamento come esca

Secondo il rapporto degli esperti coreani, la procedura per la diffusione di Magniber avrebbe inizio visitando un sito web allestito appositamente per il rilascio del carico utile, il cui indirizzo verrebbe probabilmente propinato tramite e-mail e/o messagistica di phishing.

WEBINAR
9 Giugno 2022 - 12:00
Migrazione a SAP S/4HANA: tutto quello che devi sapere
CIO
Digital Transformation

I visitatori di questi siti (hxxp://b5305c364336bqd.bytesoh.cam, hxxp://hadhill.quest/376s53290a9n2j), una volta dentro, riceverebbero una notifica per aggiornare manualmente il proprio browser Edge/Chrome e verrebbe offerto loro un file APPX per completare l’operazione.

I file APPX, lo ricordiamo, sono file del pacchetto di applicazioni Windows creati per installazioni semplificate che già in passato sono stati sfruttati come vettori in varie campagne malware. In questo caso specifico, però, i file APPX essendo firmati digitalmente con un certificato valido, riuscirebbero ad ingannare il sistema operativo Windows, il quale ritenendoli attendibili non attiverebbe alcun avviso.

La catena d’infezione di Magniber

Sempre secondo la ricostruzione fatta dai ricercatori di sicurezza, la catena d’infezione avrebbe inizio con l’accettazione del file APPX malevolo che comporta la creazione di due file nella directory “C:ProgrammiWindowsApps”, rispettivamente un eseguibile wjoiyyxzllm.exe e una DLL wjoiyyxzllm.dll:

  • il file .EXE creato (cf16310545bf91d3ded081f9220af7cc) si occuperebbe di caricare il file DLL (wjoiyyxzllm.dll) e di eseguire una funzione specifica (mbenooj);

https://i0.wp.com/asec.ahnlab.com/wp-content/uploads/2022/01/MicrosoftTeams-image-56.png?resize=799%2C233&ssl=1

https://i0.wp.com/asec.ahnlab.com/wp-content/uploads/2022/01/MicrosoftTeams-image-8.png?resize=765%2C321&ssl=1
  • il codice della DLL (2a12ea3b7d84d1bd0aad215d024665c) si occuperebbe di scaricare il payload codificato del ransomware e di decodificarlo.

Solo successivamente agli step precedenti, Magniber procederebbe crittografando i file dell’utente e creando una richiesta di denaro per il rispristino.

Come si legge sulla nota di riscatto, a differenza dell’ultima tendenza da parte della maggior parte delle gang ransomware, Magniber non sembra adottare la doppia estorsione, quindi non esfiltrerebbe i dati prima della crittografia.

Magniber ransom note dropped onto victims

Soluzioni di mitigazione

Sebbene al momento il ransomware Magniber abbia come target esclusivamente il continente asiatico, non è detto che prossimamente non possa estendere il proprio raggio di azione. In ogni caso, per contrastare o perlomeno mitigare attacchi di questo tipo si suggerisce di intraprendere alcune azioni di sicurezza:

  • custodire adeguatamente le copie di sicurezza, adottando strategie di backup secondo la regola 3-2-1 ovvero mantenendo almeno 3 copie dei dati aziendali in 2 formati diversi, con 1 copia offline e posizionata fuori sede. Ciò garantirebbe di poter ripristinare le funzionalità senza dover decrittografare file e pagare alcun riscatto;
  • aggiornare periodicamente sistemi e applicazioni, attraverso un piano di gestione delle patch;
  • astenersi dall’accedere a siti web non attendibili;
  • utilizzare l’autenticazione a più fattori almeno per gli account amministrativi critici;
  • segmentare la rete tenendo separati e isolati i sistemi critici;
  • integrare nella propria cultura aziendale un adeguato livello di consapevolezza degli utenti in tema di sicurezza IT.

@RIPRODUZIONE RISERVATA

Articolo 1 di 4