Big Head Ransomware

محققان امنیتی یک نوع جدید و در حال ظهور از باج افزار به نام Big Head را شناسایی کرده اند که به دلیل پتانسیل آسیب رساندن به آن پس از عملیاتی شدن کامل، نگرانی هایی را ایجاد کرده است. چندین نسخه متمایز از Big Head تجزیه و تحلیل شده است و ماهیت متنوع و چند وجهی آن را آشکار می کند، که چالش های مهمی را برای تلاش های کاهش آتی ایجاد می کند.

توسعه دهندگان پشت Big Head سطح مشخصی از تجربه را به نمایش می گذارند، اگرچه ممکن است آنها را بازیگران تهدید بسیار پیچیده ای در نظر نگیرد. توانایی آنها برای ترکیب عملکردهای مختلف در بدافزار، از جمله دزدها، آلوده کننده ها و نمونه های باج افزار، به ویژه هشدار دهنده است. این رویکرد چند وجهی به بدافزار این قابلیت را می‌دهد که با رسیدن به ظرفیت عملیاتی خود، آسیب قابل توجهی ایجاد کند. دفاع در برابر Big Head به دلیل نیاز به پرداختن به هر بردار حمله به طور جداگانه چالش برانگیزتر می شود.

با توجه به ماهیت پیچیده Big Head و پتانسیل آن برای تکامل بیشتر، کارشناسان امنیتی در مورد پیامدها و تأثیراتی که ممکن است بر سیستم های هدف داشته باشد نگران هستند. طراحی چند منظوره این بدافزار، سازمان‌ها و متخصصان امنیتی را ملزم می‌کند که رویکردی جامع برای دفاع، با تمرکز بر چندین جنبه و آسیب‌پذیری به طور همزمان اتخاذ کنند.

مهاجمان از تبلیغات جعلی مایکروسافت به عنوان فریب استفاده می کنند

مشاهده شده است که باج‌افزار Big Head از طریق تبلیغات نادرست توزیع می‌شود، که تبلیغاتی مخدوش هستند که به‌عنوان به‌روزرسانی‌های جعلی ویندوز یا نصب‌کننده‌های Word پنهان شده‌اند.

پس از آلوده شدن، Big Head یک رابط کاربری فریبنده ارائه می‌کند که فرآیند قانونی Windows Update را تقلید می‌کند و قربانیان را فریب می‌دهد تا تصور کنند فعالیت مخرب یک به‌روزرسانی نرم‌افزاری واقعی است.

در یک نمونه از تجزیه و تحلیل Big Head، سه باینری کشف شد که هر کدام عملکردهای متفاوتی را در سیستم مورد نظر انجام می‌دهند. این عملکردها شامل رمزگذاری فایل، استقرار یک ربات تلگرام که با شناسه ربات چت عامل تهدید در تعامل بود، نمایش رابط کاربری به‌روزرسانی جعلی ویندوز، و نصب یادداشت‌های باج به عنوان فایل‌ها و کاغذدیواری Read Me بود.

فایل اجرایی مسئول ربات تلگرام، به نام teleratserver.exe، یک باینری 64 بیتی کامپایل شده توسط پایتون بود. این دستورات اجرایی مانند «شروع»، «کمک»، «اسکرین شات» و «پیام» برای برقراری ارتباط بین قربانی و عامل تهدید با استفاده از برنامه پیام‌رسانی پذیرفته شده است.

نسخه‌های باج‌افزار Big Head با قابلیت‌های گسترده کشف شده‌اند

در نمونه‌ای دیگر، نمونه دوم باج‌افزار Big Head قابلیت‌های اضافی برای سرقت داده‌ها را نشان داد. این بدافزار WorldWind Stealer را در خود جای داده بود که جمع آوری انواع مختلف اطلاعات را تسهیل می کرد. این شامل تاریخچه مرور از همه مرورگرهای وب موجود، لیستی از دایرکتوری ها و فرآیندهای در حال اجرا در سیستم آلوده، نسخه ای از درایورها، و تصویری از صفحه نمایش گرفته شده پس از اجرای بدافزار است.

علاوه بر این، نمونه سوم باج‌افزار Big Head Neshta را حمل می‌کرد، بدافزاری که برای توزیع ویروس‌ها از طریق تزریق کد مخرب به فایل‌های اجرایی طراحی شده است. محققان تاکید کردند که ادغام Neshta در استقرار باج افزار به عنوان یک تکنیک استتار برای بار نهایی باج افزار Big Head عمل می کند. با انجام این کار، بدافزار می تواند ماهیت واقعی خود را پنهان کند و به عنوان یک نوع تهدید متفاوت مانند ویروس ظاهر شود. هدف این تاکتیک منحرف کردن توجه و اولویت بندی راه حل های امنیتی است که در درجه اول بر شناسایی باج افزار تمرکز دارند.

گنجاندن این قابلیت‌های اضافی و استفاده از تکنیک‌های استتار پیچیدگی و پیچیدگی در حال تکامل باج‌افزار Big Head را نشان می‌دهد. Big Head با گنجاندن قابلیت‌های سرقت داده و استفاده از سایر اجزای بدافزار، تلاش می‌کند اطلاعات ارزشمندی را جمع‌آوری کند، قصد واقعی خود را پنهان کند و به طور بالقوه اقدامات امنیتی را که در درجه اول باج‌افزار را هدف قرار می‌دهند، دور بزند.