Toujours actif sur le vieillissant Internet Explorer (IE), le ransomware Magniber exploite désormais les vulnérabilités des plus récents Microsoft Edge et Google Chrome, en se faisant passer pour une mise à jour.
Bien connu sur Internet Explorer (IE), le ransomware Magniber s’offre une cure de jouvance et infiltre désormais Microsoft Edge et Google Chrome. C’est ce qu’on mit en exergue les analystes du AhnLab Security Emergency Response Center (ASEC).
Un malware « légitime »
Ce ransomware est distribué en utilisant des vulnérabilités connues dans Internet Explorer depuis un certain temps déjà. Cependant, les analystes du AhnLab Security Emergency Response Center (ASEC) ont découvert que Magniber menaçait Microsoft Edge et Google Chrome en se déguisant en un package de mise à jour .appx signé avec un certificat valide. Le fichier en question a pour nom edge_update.appx ou chrome_update.appx.
Discret, ledit fichier est perçu comme légitime par Windows. « L’application Windows (.appx) est triée comme une application de confiance, permettant ainsi son installation », relèvent les chercheurs dans leur analyse.
Problème, une fois installé, Magniber installe à son tour deux fichiers : wjoiyyxzllm.dll et wjoiyyxzllm.exe, dans C:\Progam Files\WindowsApps, un dossier protégé qui accueille les applications Microsoft Store correctement signées. Les deux fichiers vont ensuite exécuter une fonction intitulée « mbenooj ». Le malware chiffre alors les données et demande une rançon pour les débloquer. A noter que, contrairement à la plupart des ransomware, Magniber n’a pas adopté la tactique de double extorsion. Il ne vole donc pas de données, se contentant de les chiffrer.
Comment s’en prémunir ?
Pour limiter les risques, « les utilisateurs doivent s'abstenir d'accéder à des sites Web non fiables et maintenir les logiciels de sécurité dans leur dernière version. », préviennent les chercheurs. Le béaba.