Big Head Ransomware
محققان امنیتی یک نوع جدید و در حال ظهور از باج افزار به نام Big Head را شناسایی کرده اند که به دلیل پتانسیل آسیب رساندن به آن پس از عملیاتی شدن کامل، نگرانی هایی را ایجاد کرده است. چندین نسخه متمایز از Big Head تجزیه و تحلیل شده است و ماهیت متنوع و چند وجهی آن را آشکار می کند، که چالش های مهمی را برای تلاش های کاهش آتی ایجاد می کند.
توسعه دهندگان پشت Big Head سطح مشخصی از تجربه را به نمایش می گذارند، اگرچه ممکن است آنها را بازیگران تهدید بسیار پیچیده ای در نظر نگیرد. توانایی آنها برای ترکیب عملکردهای مختلف در بدافزار، از جمله دزدها، آلوده کننده ها و نمونه های باج افزار، به ویژه هشدار دهنده است. این رویکرد چند وجهی به بدافزار این قابلیت را میدهد که با رسیدن به ظرفیت عملیاتی خود، آسیب قابل توجهی ایجاد کند. دفاع در برابر Big Head به دلیل نیاز به پرداختن به هر بردار حمله به طور جداگانه چالش برانگیزتر می شود.
با توجه به ماهیت پیچیده Big Head و پتانسیل آن برای تکامل بیشتر، کارشناسان امنیتی در مورد پیامدها و تأثیراتی که ممکن است بر سیستم های هدف داشته باشد نگران هستند. طراحی چند منظوره این بدافزار، سازمانها و متخصصان امنیتی را ملزم میکند که رویکردی جامع برای دفاع، با تمرکز بر چندین جنبه و آسیبپذیری به طور همزمان اتخاذ کنند.
مهاجمان از تبلیغات جعلی مایکروسافت به عنوان فریب استفاده می کنند
مشاهده شده است که باجافزار Big Head از طریق تبلیغات نادرست توزیع میشود، که تبلیغاتی مخدوش هستند که بهعنوان بهروزرسانیهای جعلی ویندوز یا نصبکنندههای Word پنهان شدهاند.
پس از آلوده شدن، Big Head یک رابط کاربری فریبنده ارائه میکند که فرآیند قانونی Windows Update را تقلید میکند و قربانیان را فریب میدهد تا تصور کنند فعالیت مخرب یک بهروزرسانی نرمافزاری واقعی است.
در یک نمونه از تجزیه و تحلیل Big Head، سه باینری کشف شد که هر کدام عملکردهای متفاوتی را در سیستم مورد نظر انجام میدهند. این عملکردها شامل رمزگذاری فایل، استقرار یک ربات تلگرام که با شناسه ربات چت عامل تهدید در تعامل بود، نمایش رابط کاربری بهروزرسانی جعلی ویندوز، و نصب یادداشتهای باج به عنوان فایلها و کاغذدیواری Read Me بود.
فایل اجرایی مسئول ربات تلگرام، به نام teleratserver.exe، یک باینری 64 بیتی کامپایل شده توسط پایتون بود. این دستورات اجرایی مانند «شروع»، «کمک»، «اسکرین شات» و «پیام» برای برقراری ارتباط بین قربانی و عامل تهدید با استفاده از برنامه پیامرسانی پذیرفته شده است.
نسخههای باجافزار Big Head با قابلیتهای گسترده کشف شدهاند
در نمونهای دیگر، نمونه دوم باجافزار Big Head قابلیتهای اضافی برای سرقت دادهها را نشان داد. این بدافزار WorldWind Stealer را در خود جای داده بود که جمع آوری انواع مختلف اطلاعات را تسهیل می کرد. این شامل تاریخچه مرور از همه مرورگرهای وب موجود، لیستی از دایرکتوری ها و فرآیندهای در حال اجرا در سیستم آلوده، نسخه ای از درایورها، و تصویری از صفحه نمایش گرفته شده پس از اجرای بدافزار است.
علاوه بر این، نمونه سوم باجافزار Big Head Neshta را حمل میکرد، بدافزاری که برای توزیع ویروسها از طریق تزریق کد مخرب به فایلهای اجرایی طراحی شده است. محققان تاکید کردند که ادغام Neshta در استقرار باج افزار به عنوان یک تکنیک استتار برای بار نهایی باج افزار Big Head عمل می کند. با انجام این کار، بدافزار می تواند ماهیت واقعی خود را پنهان کند و به عنوان یک نوع تهدید متفاوت مانند ویروس ظاهر شود. هدف این تاکتیک منحرف کردن توجه و اولویت بندی راه حل های امنیتی است که در درجه اول بر شناسایی باج افزار تمرکز دارند.
گنجاندن این قابلیتهای اضافی و استفاده از تکنیکهای استتار پیچیدگی و پیچیدگی در حال تکامل باجافزار Big Head را نشان میدهد. Big Head با گنجاندن قابلیتهای سرقت داده و استفاده از سایر اجزای بدافزار، تلاش میکند اطلاعات ارزشمندی را جمعآوری کند، قصد واقعی خود را پنهان کند و به طور بالقوه اقدامات امنیتی را که در درجه اول باجافزار را هدف قرار میدهند، دور بزند.