Ransomware Magniber đang phát tán dưới dạng gói cập nhật cho trình duyệt Edge/Chrome
bk9sw
4 thángBình luận: 44
Ransomware Magniber đang phát tán dưới dạng gói cập nhật cho trình duyệt Edge/Chrome
Các nhà nghiên cứu bảo mật tại Trung tâm phản ứng bảo mật khẩn cấp AhnLab của Hàn Quốc đã vừa phát hiện ra một loại ransomware mới đang được phát hành dưới dạng một gói cập nhật cho trình duyệt Microsoft Edge và Google Chrome. Ransomware này có tên Magniber, nó tự động mã hóa dữ liệu và buộc người dùng phải trả tiền để lấy khóa giải mã, từ đó mới có thể lấy lại dữ liệu.

020 Magniber 1.png
Magniber tấn công các máy tính PC qua trình duyệt Edge và Chrome thông qua một package cập nhật trình duyệt, có đuôi .appx và có chứng chỉ hợp lệ. Thực tế trình duyệt web hiện đại sẽ tự động cập nhật thay vì yêu cầu người dùng tải về một gói cập nhật như vậy. Tuy nhiên với những người không biết đến điều này thì họ vẫn có thể bị kẻ phán tán Magniber đánh lừa. Gói cập nhật .appx với chứng chỉ hợp lệ sẽ khiến Windows cho phép cài đặt package này. Sau khi cài đặt, gói cập nhật chứa mã độc tự động tạo ra 2 file là wjoiyyxzllm.dll và wjoiyyxzllm.exe trong đường dẫn C:\Program Files\WindowsApps - đây là thư mục chỉ dành cho các ứng dụng hợp lệ cài đặt từ Microsoft Store.


2 file này sẽ tự khởi chạy và thực thi một chức năng gọi là mbenooj, trong đó file .dll sẽ tải thêm các thành phần của ransomware và giải mã chúng. Sau đó, ransomware Magniber sẽ được thực thi từ vùng bộ nhớ của file .exe và tiến hành mã hóa các tập tin của người dùng. Kẻ tấn công cũng không quên để lại một thông điệp cho biết máy đã dính Magniber và yêu cầu trả tiền để giải mã dữ liệu.

020 Magniber.png
Dù không lấy cắp file nào nhưng Magniber mã hóa dữ liệu, khả năng cao là không lấy lại được cho dù có trả tiền để lấy khóa giải mã. Vì vậy, người dùng tốt nhất là nên cẩn thận khi tải về các file từ các nguồn không rõ nguồn gốc bởi cách thức lây nhiễm của Magniber cho thấy nó có thể giả mạo file .appx hợp lệ để đánh lừa Windows cài đặt. Thêm vào đó là dữ liệu quan trọng cần được sao lưu thường xuyên và cập nhật công cụ bảo mật trên máy tính.

Theo: Notebookcheck
44 bình luận
Thanks Man !!!
anhvu911
ĐẠI BÀNG
4 tháng
trình duyệt tự update chứ ai mà tải bản update về cài
Syter
TÍCH CỰC
4 tháng
@anhvu911 Muốn update thủ công cũng ko có link cho mà tải ấy chứ
Bọn tàu viết ransomware này chứ ko ai vô đây 🤣
@tía-thằng-cu-hói T thì thích vn viết hơn vì lúc đó trình độ vn đạt được nhiều tầm cao mới.
Ngao ngán mấy anh hacker thật :3
Bình thường thì định dạng appx cũng không được chấp nhận mặc định trên Windows đâu. Cái này là sideload rồi
@nghaimin Cảm ơn bạn. Mình đọc hết bài cũng chưa hiểu là nó phát tán kiểu gì luôn. Vì trình duyệt tự cập nhật chứ bình thường có ai tải về gói cập nhật đâu. Bài viết rất nửa vời.
Nghi ngờ có sự nhúng tay của mấy anh pháp sư trung nguyên.
Kahny La
TÍCH CỰC
4 tháng
@chetdichoroi ở trung nguyên, chúng tôi làm cà phê chứ k có hack
Khôn như mày :D
@Kahny La Kaka. Chú thích thêm là em đang nói trung nguyên (tàu)
trungmum
TÍCH CỰC
4 tháng
Thanks for update.
Thật không thể tin đc 😶
mình đang cần link tải về để test
son012
ĐẠI BÀNG
4 tháng
đang hàng ngày dùng bình thường mà thấy có cái khác lạ là y như rằng nhiễm virus mã độc tống tiền
Không xài Safari/MacOS nó mới vậy.
@Nh0kluatjh Dữ quá!
@D.lord Qubes là bản phân phối của Xen hypervisor
@mrpcx64 Nhưng based on: Fedora
@D.lord dom0 là fedora nên cứ cho là cả hai đi
e vẫn trung thành với cáo lửa, theme mới nhìn rất mịn 😁
@llllyllllr Mình thì "Cáo lửa dạt về đêm" - Firefox Nightly...
@D.lord bạn có nhiều thời gian để cập nhật nhỉ
@mrpcx64 Hôm nay rảnh nên chém gió chơi. Chứ lâu lắm mới lên tinhte 1 lần.
@D.lord cáo lửa nghe nói ra bản mới nhẹ với mạnh lắm ah bác
kero2005
TÍCH CỰC
4 tháng
@nospecial nặng máy lắm, mình cài bản 14 thì phải, mượt lắm , bản mới thì cpu load 100%
Cười vô mặt
Mr Slim
ĐẠI BÀNG
4 tháng
Chiêu này lừa gà táy máy chứ ai đời update trình duyệt bằng file package bao giờ
Kinh dị, đúng là phải cẩn thận với những vụ như vậy
vinhan73
TÍCH CỰC
4 tháng
Hồi xưa nó còn bày trò ... chỉ là chơi game bắn máy bay gì đó ở màn cuối thui à !!! Chưa ai chơi qua được !!! kkk
cái này là vô tình click hoặc lùa gà thôi chứ cái web chã thấy uy tính gì cả, nhìn cái biết lừa đảo
ReamsX
TÍCH CỰC
4 tháng
anti virus chặn dc kìa. Khả năng windows defender mặc định windows 11 cũng chặn được thôi.
Mặc định chức năng sideload gói appx bị tắt mà, tải về thì cũng phải dụ người dùng mở lên, giống như android nó cũng chặn sideload mặc định.
Anh em cẩn thận nhé.








  • Chịu trách nhiệm nội dung: Trần Mạnh Hiệp
  • © 2022 Công ty Cổ phần MXH Tinh Tế
  • Địa chỉ: Số 70 Bà Huyện Thanh Quan, P. Võ Thị Sáu, Quận 3, TPHCM
  • Số điện thoại: 02862713156
  • MST: 0313255119
  • Giấy phép thiết lập MXH số 11/GP-BTTTT, Ký ngày: 08/01/2019