Actualizaciones falsas de Windows 10 infectan equipos con el malware Magniber

Se están distribuyendo actualizaciones falsas de Windows 10 para infectar equipos con el ransomware Magniber, esto dentro del marco de diversas campañas masivas que comenzaron a principios de este mes. De acuerdo a la información publicada por BleepingComputer, el medio recibió una oleada de solicitudes de ayuda respecto a una infección de ransomware dirigida a […]

Se están distribuyendo actualizaciones falsas de Windows 10 para infectar equipos con el ransomware Magniber, esto dentro del marco de diversas campañas masivas que comenzaron a principios de este mes.

De acuerdo a la información publicada por BleepingComputer, el medio recibió una oleada de solicitudes de ayuda respecto a una infección de ransomware dirigida a usuarios de todo el mundo.

”Mientras investigamos la campaña, descubrimos un tema en nuestros foros donde los lectores informaron que se infectaron con el ransomware Magniber después de instalar -lo que se cree que es- una actualización de seguridad o acumulativa de Windows 10.

Estas actualizaciones se distribuyen con varios nombres, siendo Win10.0_System_Upgrade_Software.msi [VirusTotal] y Security_Upgrade_Software_Win10.0.msi las más comunes.

Otras descargas pretenden ser actualizaciones acumulativas de Windows 10 y utilizan artículos falsos de la base de conocimientos, como se muestra a continuación.

Actualización.del.sistema.Win10.0-KB47287134.msi
Actualización.del.sistema.Win10.0-KB82260712.msi
Actualización.del.sistema.Win10.0-KB18062410.msi
Actualización.del.sistema.Win10.0-KB66846525.msi

Según los envíos a VirusTotal, esta campaña parece haber comenzado el 8 de abril de 2022 y ha tenido una distribución masiva en todo el mundo desde entonces.

Si bien no está 100% claro cómo se promocionan las actualizaciones falsas de Windows 10, las descargas se distribuyen desde sitios falsos de warez y crack.

Una vez instalado, el ransomware elimina las instantáneas de volumen y luego cifra los archivos. Al hacer esto, el ransomware agrega una extensión aleatoria de 8 caracteres, como .gtearevf, como se muestra a continuación.

”El ransomware también crea notas de rescate llamadas README.html en cada carpeta que contiene instrucciones sobre cómo acceder al sitio de pago Magniber Tor para pagar un rescate”.

”El sitio de pago de Magniber se titula ‘My Decryptor’ y permitirá a la víctima descifrar un archivo de forma gratuita, ponerse en contacto con el ‘soporte’ o determinar el monto del rescate y la dirección de bitcoin que las víctimas deben realizar”, relata el artículo.