HackerNews.cc 10 月 8 日消息，Magnitude 漏洞开发工具包（EK）在过去的发展规模中一直引人注目并被 *** 犯罪分子用于亚洲多个国家肆意传播。奇怪的是，该漏洞开发工具包于今年 9 月下旬突然消失，起初研究人员以为这仅仅是 EK 研发失败的情景，但就在近期，该工具包重新出现并新添有效负载–勒索软件 Magniber。

Magnitude 漏洞开发工具包最早可追溯至 2013 年，其主要包含诸如加密类的勒索软件。调查显示，攻击者利用该漏洞开发工具包过滤客户 IP 地址与系统语言的地理位置后传递有效负载。这是一种 *** 犯罪分子常用的主要技术工具，旨在规避研究人员检测。目前，该工具包只通过漏洞（2016-2016-0189）检索执行有效负载。

据悉，Magniber 是一款针对性较强的勒索软件，可通过多个级别（外部 IP、安装语言等）检测目标系统，以确保受攻击设备仅为韩国用户。此外，勒索软件 Magniber 由 Magnitude 漏洞开发工具包进行分配。

调查显示，勒索软件 Magniber 仅在检测到韩语的系统上才会开始恶意操作，如果恶意软件于非韩系统执行，其研究人员唯一能看到的操作就是通过其运行 ping 命令删除自身程序。

一旦入侵韩国系统，其恶意软件将以 ％TEMP％ 方式复制设备机密数据，并在任务调度程序的帮助下部署自身。

据悉，研究人员在系统的多个文件夹中除了发现同一勒索赎金信函外，还检测到另一文档，它的名称与为特定用户生成的域名相同、扩展名与加密文件的扩展名相同。此外，每份加密文件都添加了同一个由拉丁文字符组成的扩展名，并且对于特定的 Magniber 样本来说固定不变，这意味着每份文件都使用完全相同的密钥进行加密。

研究人员表示，受害者的页面只显示英文。虽然它的模板与此前勒索软件 Cerber 使用的模板极其相似，但内部完全不同。此外，Magniber 是在 CBC 模式下使用 AES 128 位加密文件并在 Windows Crypto API 的帮助下执行与传播。

目前，虽然攻击者正积极瞄准韩国用户分发勒索软件 Magniber，但研究人员尚不清楚幕后黑手真正意图。对此，他们将持续跟进此次事件并提醒各用户加强防御体系，以抵御大规模攻击事件的发生。

附：Malwarebytes Labs 原文报告《 勒索软件 Magniber：仅感染传播韩国用户 》

稿源：Malwarebytes Labs ，译者：青楚
本文由 HackerNews.cc 翻译整理，封面来源于 *** 。
转载请注明“转自 HackerNews.cc ” 并附上原文链接。