 Resumen: Un grupo ransomware ha estado lanzando malware utilizando archivos de paquetes de aplicaciones Windows (.APPX) firmados con certificados auténticos.
Investigadores de la empresa en ciberseguridad conocida como AhnLab, señalan que los actores de amenaza detrás del ransomware Magniber, han comenzado a utilizar los archivos APPX para distribuir un malware que se hace pasar por las actualizaciones de los navegadores Chrome y Edge.
Los archivos APPX son paquetes de aplicaciones de Windows que incluyen el nombre, la descripción y los permisos de una aplicación junto con los binarios de la misma. Los actores de amenaza suelen utilizarlas para agilizar la distribución e instalación del malware en los sistemas objetivo. En el caso del ransomware Magniber, los archivos APPX son empleados para disfrazar el malware con certificados válidos y evadir su detección.
Anteriormente, el grupo solía explotar las vulnerabilidades basadas en Internet Explorer para infectar los sistemas de sus víctimas, sin embargo, en esta ocasión se ha observado que la infección comienza cuando los usuarios visitan un sitio web malicioso específicamente diseñado.
Aunque aún se desconoce como es que los usuarios entran a la página, los investigadores sugieren que podría tratarse de una campaña de phishing distribuida mediante correos electrónicos, mensajes SMS o inclusive a través de las redes sociales.
Una vez que los usuarios entran al sitio web malicioso, reciben una notificación para actualizar su navegador manualmente y se les ofrece un archivo APPX para llevar a cabo lo anterior.
Al aceptar el archivo malicioso, se crean dos archivos en el directorio "C:\NProgram Files\WindowsApps", el archivo “wjoiyyxzllm.exe” y el “wjoiyyxzllm.dll”, que se encargan de ejecutar una función que obtiene la carga útil del malware, para decodificarla y posteriormente ejecutarla.
Si bien esta amenaza está dirigida a los usuarios asiáticos, el uso de estas tácticas de cifrado podrían poner en riesgo diversos sistemas alrededor del mundo. Por lo tanto, es importante que todos los usuarios mantengan las mejores prácticas de ciberseguridad y eviten darle click a enlaces o responder mensajes y correos electrónicos sospechosos.
Finalmente, es preciso destacar que el realizar copias de seguridad de los datos de forma regular, podría ser una vía para mitigar la posible extorsión de grupos ransomware como Magniber.
Referencias:
|
SÍGUENOS