点击关注,了解更多国内外最新安全资讯!
▌作者:Tom Spring
▌翻译:360代码卫士团队
研究人员发现了一款新型勒索软件Magniber,它仅针对亚太地区的用户。它最初是由Magnitude利用包传播的,而这正是Cerber勒索软件过去的一个主要传播方式。
跟Magnitude利用包和Cerber关系密切
由于它跟Magnitude利用包和Cerber的这种密切关系,研究人员将这款勒索软件混合命名为 “Magniber”。
火眼公司上周四发布勒索软件系列报告称,“Magnitude利用包在2017年10月15日被人发现,当时它仅攻击韩国用户。此前它用于传播Cerber勒索软件,但由于后者没落,它现在正在传播Magniber。”
仅攻击韩国
火眼公司发布报告的前几天,其他研究人员也发现了类似的Magniber活动。趋势科技公司发现,Magnitude利用包攻击活动就在10月15日Magniber攻击发生前暂时消失。他们也认为虽然勒索软件Cerber、SLocker和Locky通常都用于针对性攻击中,但从未针对某个地理区域的目标发动攻击。
攻击原理
火眼报告指出,至于Magniber的payload,如果它发现系统语言不是韩语,则不会执行,而会退出。Magniber通过AES128加密用户数据。研究人员指出,“恶意软件的资源部分包含一个二进制payload,是通过逆向RC4加密的。它开始从缓存的结尾开始解包。逆向RC解密密钥的长度是30比特,而且包含非ASCII字符。”
在内存中解包后,Magniber开始执行payload的内容。部分进程包括使用一个19个字符长的伪随机字符串构建4个URL,用于识别和避免在虚拟机上执行勒索软件的回调函数。
如果Magniber勒索软件被执行,那么它就会开始加密系统上的用户文件,并通过在文件末尾添加“.ihsdj” 扩展的方式进行重命名。一旦完成这一任务,Magniber就会发布命令自我删除。
趋势科技表示,黑客结合利用Magnitude利用包和恶意广告活动,以及一个在去年修复的IE内存损坏漏洞 (CVE-2016-0189)。
利用包带来的风险仍在持续
火眼公司报告指出,虽然目前的威胁情报表明大量攻击来自邮件,但利用包仍然会持续给用户带来风险,尤其是那些还在使用老旧软件版本且不使用广告拦截器的用户。
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。