Big Head Ransomware

حدد الباحثون الأمنيون سلالة جديدة وناشئة من برامج الفدية تسمى "الرأس الكبير" والتي أثارت مخاوف بسبب قدرتها على إلحاق ضرر كبير بمجرد تشغيلها بشكل كامل. تم تحليل العديد من الإصدارات المتميزة من Big Head ، مما يكشف عن طبيعتها المتنوعة والمتعددة الأوجه ، والتي تشكل تحديات كبيرة لجهود التخفيف المستقبلية.

يعرض المطورون وراء Big Head مستوى معينًا من الخبرة ، على الرغم من أنهم قد لا يعتبرون جهات تهديد متطورة للغاية. إن قدرتها على دمج وظائف مختلفة داخل البرامج الضارة ، بما في ذلك عينات المخترقين والمخترقين وعينات برامج الفدية ، أمر مثير للقلق بشكل خاص. يمنح هذا النهج متعدد الأوجه البرمجيات الخبيثة القدرة على إحداث ضرر كبير عندما تصل إلى طاقتها التشغيلية الكاملة. يصبح الدفاع ضد الرأس الكبير أكثر صعوبة بسبب الحاجة إلى معالجة كل متجه هجوم على حدة.

نظرًا للطبيعة المعقدة لـ Big Head وقدرتها على التطور بشكل أكبر ، فإن خبراء الأمن قلقون بشأن الآثار والتأثيرات التي قد تحدثها على الأنظمة المستهدفة. يتطلب التصميم متعدد الوظائف للبرامج الضارة من المنظمات والمتخصصين في مجال الأمن اعتماد نهج شامل للدفاع ، مع التركيز على جوانب ونقاط ضعف متعددة في وقت واحد.

يستخدم المهاجمون إعلانات Microsoft الوهمية كإغراءات

لقد لوحظ أن برنامج Big Head Ransomware يتم توزيعه من خلال الإعلانات الخبيثة ، وهي إعلانات تالفة متخفية على أنها تحديثات Windows وهمية أو مثبتات Word.

عند الإصابة ، يقدم Big Head واجهة مستخدم خادعة تحاكي عملية Windows Update المشروعة ، وتخدع الضحايا للاعتقاد بأن النشاط الضار هو تحديث برنامج أصلي.

في حالة واحدة من تحليل Big Head ، تم اكتشاف ثلاثة ثنائيات ، كل منها يخدم وظائف مختلفة على النظام المستهدف. تضمنت هذه الوظائف تشفير الملفات ، ونشر روبوت Telegram الذي يتفاعل مع معرف chatbot الخاص بالجهة المهددة ، وعرض واجهة مستخدم تحديث Windows المزيفة ، وتثبيت ملاحظات الفدية كملفات Read Me وورق الحائط.

الملف التنفيذي المسؤول عن Telegram bot ، المسمى teleratserver.exe ، كان ثنائي 64 بت مجمّع بيثون. هذه الأوامر المقبولة القابلة للتنفيذ مثل "بدء" و "مساعدة" و "لقطة شاشة" و "رسالة" لإنشاء اتصال بين الضحية والجهة الفاعلة في التهديد باستخدام تطبيق المراسلة

تم اكتشاف إصدارات Big Head Ransomware مع وظائف موسعة

في حالة أخرى ، أظهرت عينة ثانية من Big Head Ransomware قدرات إضافية لسرقة البيانات. أدرجت WorldWind Stealer البرمجيات الخبيثة ، والتي سهلت جمع أنواع مختلفة من المعلومات. وشمل ذلك محفوظات الاستعراض من جميع متصفحات الويب المتاحة ، وقوائم الأدلة والعمليات الجارية على النظام المصاب ، ونسخة متماثلة من برامج التشغيل ، ولقطة شاشة للشاشة التي تم التقاطها بعد تنفيذ البرنامج الضار.

علاوة على ذلك ، حملت عينة ثالثة من برنامج Big Head Ransomware برنامج Neshta ، وهو برنامج ضار مصمم لتوزيع الفيروسات عن طريق حقن تعليمات برمجية ضارة في ملفات قابلة للتنفيذ. سلط الباحثون الضوء على أن دمج Neshta في نشر برامج الفدية بمثابة أسلوب تمويه لحمولة Big Head Ransomware النهائية. من خلال القيام بذلك ، يمكن للبرامج الضارة إخفاء طبيعتها الحقيقية والظهور كنوع مختلف من التهديد ، مثل الفيروسات. يهدف هذا التكتيك إلى تحويل الانتباه وتحديد أولويات الحلول الأمنية التي تركز بشكل أساسي على اكتشاف برامج الفدية.

يُظهر إدراج هذه الوظائف الإضافية واستخدام تقنيات التمويه التعقيد المتطور وتطور برنامج Big Head Ransomware. من خلال دمج إمكانات سرقة البيانات والاستفادة من مكونات البرامج الضارة الأخرى ، تحاول Big Head جمع معلومات قيمة ، وإخفاء نيتها الحقيقية ، وربما التحايل على الإجراءات الأمنية التي تستهدف في المقام الأول برامج الفدية.