Сайт, который в настоящее время распространяет Magniber, использует метод обхода, о котором команда рассказывала здесь в прошлом, когда блокировки доменов, использующие MOTW (Mark of the Web), обходятся путем добавления данных для загрузки в тег <a>.
Когда файл Magniber (zip или msi), у которого href тега <a> закодирована в base64, добавляется как скрипт и загружается, он остается на HostUrl как about:internet. Было подтверждено, что это делается с целью обхода блокировок домена.
Загруженный файл пакета MSI имеет тип структуры установки, который также используется в обычных обновлениях Windows. Вредоносная программа распространялась путем включения DLL-библиотеки Magniber ransomware в файл пакета MSI.
По умолчанию MSI предоставляет возможность вызова экспортной функции DLL через таблицу Custom Action. Злоумышленник использовал эту возможность, чтобы функция экспорта Magniber выполнялась при запуске MSI. Выполненная DLL кодирует файлы, удаляет теневые копии томов и заражает компьютер пользователя программой-выкупом.
В настоящее время Magniber распространяется методом typosquatting, который использует опечатки при вводе доменов, ориентируясь на пользователей Chrome и Edge с последней версией Windows.
Indicators of Compromise
IPv4
- 217.182.162.62
- 45.32.170.38
- 51.254.147.171
- 51.68.238.215
Domains
- datebar.space
- doeor.email
- flatthe.uno
- viabugs.space