Ransomware Magniber usa falsas atualizações para se espalhar

Ao navegar em algum site, você recebe uma notificação com um alerta: se você usa o Microsoft Edge ou o Google Chrome, seu navegador precisa de uma “atualização manual”.

Um botão presente na página facilita o download da instalação. O processo leva apenas alguns segundos e o Windows permite que a atualização ocorra sem detectar o menor problema.

Seria tudo muito simples e rápido se esta atualização não fosse autêntica. O analista de malware do laboratório de cibersegurança da PSafe, Leonardo Fontes, detectou esta nova forma de infecção do ransomware Magniber na sexta-feira (14). 

O ataque simula uma atualização de sistema. Na tentativa de fazer o update, o usuário acaba instalando também uma ameaça oculta, capaz de criptografar seus dados. A vítima deste tipo de golpe normalmente é coagida a pagar um resgate financeiro aos hackers, caso contrário não poderá mais acessar seus arquivos pessoais.

O que é o Ransomware Magniber

Magniber é um tipo de ransomware que já existe há algum tempo, mas está encontrando novas formas de atacar dispositivos. “Ele não é necessariamente novo, mas uma nova leva dele está explorando uma vulnerabilidade que permite execução de código na máquina do alvo para se espalhar” explica Marco DeMello, CEO da PSafe

Ele também pode baixar outros malwares durante a navegação. Assim que a vítima optar por fazer essas falsas atualizações no Google Chrome ou Microsoft Edge, uma extensão do navegador do tipo .appx (um formato lançado com o Windows 8, mas ainda explorado pelo Windows 10 e Windows 11) da página é baixada para o seu dispositivo.

Essa extensão é aceita pelo Windows como uma ferramenta legítima e confiável. Ao ficar ativa em segundo plano, o programa “wjoiyyxzllm.exe” executa a biblioteca “wjoiyyxzllm.dll” e baixa o malware Magniber. Assim, os arquivos da vítima são comprometidos.

Ao contrário da maioria das operações de ransomware, o Magniber não adota a tática de extorsão dupla, portanto, não rouba arquivos antes de criptografar os sistemas. No entanto, até o momento não há possibilidade gratuita de descriptografar os arquivos bloqueados.

Como se proteger

Algumas medidas de precaução podem ser suficientes para evitar um ataque causado pelo ransomware Magniber. Antes de tudo, é preciso ter em mente que ambos os navegadores Chrome e Microsoft Edge se atualizam automaticamente, então não é preciso baixar nenhuma atualização, principalmente se vier de algum site não oficial.

Arquivos .appx, por mais legítimos que pareçam, podem ser perigosos quando baixados nesses sites ou outras fontes não verificadas. Além disso, a instalação de um arquivo deste tipo no Windows 11 pode requerer a ativação “do modo desenvolvedor”. Se você nunca acessou ou alterou as configurações padrão oferecidas pelo Windows 11, não precisa se preocupar.

No caso do Windows 10, você pode ativar uma função de acesso controlado à pasta do Windows Defender, para conseguir impedir o acesso não autorizado aos seus arquivos. Para isso, basta acessar o menu “Configurações” > Atualização & Segurança > Segurança do Windows > proteção contra vírus e ameaças. Depois, selecione a opção “Gerenciar configurações” e “Gerenciar acesso controlado a pastas”.

Por fim, certificar-se de que as definições do seu software de segurança estejam sempre atualizadas e fazer backup dos dados regularmente são boas soluções para se prevenir de ciberataques e outras ameaças.