Ransomware Magniber ẩn dưới dạng gói cập nhật cho trình duyệt Edge/Chrome

bởi stevenlam

Các nhà nghiên cứu bảo mật tại Trung tâm phản ứng bảo mật khẩn cấp AhnLab của Hàn Quốc đã vừa phát hiện ra một loại ransomware mới đang được phát hành dưới dạng một gói cập nhật cho trình duyệt Microsoft Edge và Google Chrome.

Ransomware Magniber ẩn Dưới Dạng Gói Cập Nhật Cho Trình Duyệt Edge:chrome H1

Ransomware này có tên Magniber, nó tự động mã hóa dữ liệu và buộc người dùng phải trả tiền để lấy khóa giải mã, từ đó mới có thể lấy lại dữ liệu.

Ransomware Magniber tấn công các máy tính PC qua trình duyệt Edge và Chrome thông qua một package cập nhật trình duyệt, có đuôi .appx và có chứng chỉ hợp lệ. Điều này nhằm đánh lừa Windows khiến nó cho phép cài đặt package này. Sau khi cài đặt, gói cập nhật chứa mã độc tự động tạo ra 2 file là wjoiyyxzllm.dll và wjoiyyxzllm.exe trong đường dẫn C:\Program Files\WindowsApps – đây là thư mục chỉ dành cho các ứng dụng hợp lệ cài đặt từ Microsoft Store.

Ransomware Magniber ẩn Dưới Dạng Gói Cập Nhật Cho Trình Duyệt Edge:chrome H2

2 file này sẽ tự khởi chạy và thực thi một chức năng gọi là mbenooj, trong đó file .dll sẽ tải thêm các thành phần của ransomware và giải mã chúng. Sau đó, Ransomware Magniber sẽ được thực thi từ vùng bộ nhớ của file .exe và tiến hành mã hóa các tập tin của người dùng. Kẻ tấn công cũng không quên để lại một thông điệp cho biết máy đã dính Magniber và yêu cầu trả tiền để giải mã dữ liệu.

Ransomware Magniber ẩn Dưới Dạng Gói Cập Nhật Cho Trình Duyệt Edge:chrome H3

Dù không lấy cắp file nào nhưng Magniber mã hóa dữ liệu, khả năng cao là không lấy lại được cho dù có trả tiền để lấy khóa giải mã. Vì vậy, người dùng tốt nhất là nên cẩn thận khi tải về các file từ các nguồn không rõ nguồn gốc bởi cách thức lây nhiễm của Magniber cho thấy nó có thể giả mạo file .appx hợp lệ để đánh lừa Windows cài đặt. Thêm vào đó là dữ liệu quan trọng cần được sao lưu thường xuyên và cập nhật công cụ bảo mật trên máy tính.

Theo: Notebookcheck

Related Posts

Đăng bình luận