Big Head рансъмуер

Изследователите по сигурността са идентифицирали нов и възникващ щам рансъмуер, наречен „Big Head“, който поражда опасения поради потенциала си да нанесе значителни щети, след като започне да функционира напълно. Бяха анализирани множество различни версии на Голямата глава, разкривайки нейната разнообразна и многостранна природа, която поставя значителни предизвикателства за бъдещи усилия за смекчаване.

Разработчиците зад Big Head показват определено ниво на опит, въпреки че може да не се считат за много усъвършенствани участници в заплахи. Тяхната способност да включват различни функции в рамките на злонамерения софтуер, включително крадци, инфектори и проби от рансъмуер, е особено тревожна. Този многостранен подход дава на зловреден софтуер способността да причинява значителни вреди, когато достигне пълния си оперативен капацитет. Защитата срещу Big Head става по-предизвикателна поради необходимостта да се адресира всеки вектор на атака поотделно.

Като се има предвид сложната природа на Big Head и неговия потенциал да се развива по-нататък, експертите по сигурността се опасяват от последиците и въздействието, което може да има върху целевите системи. Мултифункционалният дизайн на зловреден софтуер изисква от организациите и специалистите по сигурността да възприемат цялостен подход към защитата, като се фокусират върху множество аспекти и уязвимости едновременно.

Нападателите използват фалшиви реклами на Microsoft като примамки

Рансъмуерът Big Head е наблюдаван да се разпространява чрез злонамерени реклами, които са повредени реклами, маскирани като фалшиви актуализации на Windows или инсталационни програми на Word.

При заразяване Big Head представя измамен потребителски интерфейс, който имитира легитимен процес на Windows Update, подвеждайки жертвите да повярват, че злонамерената дейност е истинска софтуерна актуализация.

В един случай на анализ на Big Head бяха открити три двоични файла, всеки от които изпълнява различни функции в целевата система. Тези функции включват криптиране на файлове, внедряване на бот на Telegram, който взаимодейства с ID на чатбота на заплахата, показване на фалшив потребителски интерфейс за актуализиране на Windows и инсталиране на бележки за откуп като файлове и тапети Read Me.

Изпълнимият файл, отговорен за бота на Telegram, наречен teleratserver.exe, беше 64-битов двоичен файл, компилиран от Python. Този изпълним файл приема команди като „старт“, „помощ“, „екранна снимка“ и „съобщение“, за да установи комуникация между жертвата и заплахата с помощта на приложението за съобщения

Версиите на Big Head Ransomware с разширена функционалност са открити

В друг случай втора проба от рансъмуера Big Head демонстрира допълнителни възможности за кражба на данни. Той включва зловреден софтуер WorldWind Stealer, който улеснява събирането на различни видове информация. Това включваше хронологията на сърфиране от всички налични уеб браузъри, списъци с директории и изпълнявани процеси в заразената система, реплика на драйвери и екранна снимка на екрана, заснет след изпълнението на зловредния софтуер.

Освен това, трета проба от Big Head Ransomware носеше Neshta , злонамерен софтуер, предназначен да разпространява вируси чрез инжектиране на злонамерен код в изпълними файлове. Изследователите подчертаха, че интегрирането на Neshta в внедряването на рансъмуер служи като камуфлажна техника за крайния полезен товар Big Head Ransomware. По този начин злонамереният софтуер може да маскира истинската си същност и да изглежда като различен тип заплаха, като например вирус. Тази тактика има за цел да отклони вниманието и приоритизирането на решенията за сигурност, които основно се фокусират върху откриването на ransomware.

Включването на тези допълнителни функции и използването на камуфлажни техники демонстрират развиващата се сложност и изтънченост на рансъмуера Big Head. Чрез включването на възможности за кражба на данни и използването на други компоненти на злонамерен софтуер, Big Head се опитва да събере ценна информация, да прикрие истинското си намерение и потенциално да заобиколи мерките за сигурност, които са насочени предимно към ransomware.