Big Head Ransomware

보안 연구원들은 완전히 작동하면 상당한 피해를 입힐 가능성으로 인해 우려를 불러일으키는 '빅 헤드'라는 새로운 랜섬웨어 변종을 확인했습니다. Big Head의 여러 고유 버전이 분석되어 다양하고 다면적인 특성이 드러났으며, 이는 향후 완화 노력에 중요한 문제를 제기합니다.

Big Head의 배후 개발자는 고도로 정교한 위협 행위자로 간주되지 않을 수 있지만 일정 수준의 경험을 보여줍니다. 스틸러, 감염자 및 랜섬웨어 샘플을 포함하여 맬웨어 내에 다양한 기능을 통합하는 능력은 특히 놀랍습니다. 이 다면적인 접근 방식은 맬웨어가 전체 운영 용량에 도달했을 때 심각한 피해를 입힐 수 있는 기능을 부여합니다. Big Head에 대한 방어는 각 공격 벡터를 개별적으로 처리해야 하기 때문에 더욱 어려워집니다.

Big Head의 복잡한 특성과 더 발전할 수 있는 잠재력을 감안할 때 보안 전문가들은 Big Head가 대상 시스템에 미칠 수 있는 영향과 영향에 대해 우려하고 있습니다. 맬웨어의 다기능 설계로 인해 조직과 보안 전문가는 여러 측면과 취약점에 동시에 집중하는 포괄적인 방어 접근 방식을 채택해야 합니다.

공격자는 가짜 Microsoft 광고를 미끼로 사용합니다.

Big Head Ransomware는 가짜 Windows 업데이트 또는 Word 설치 프로그램으로 위장한 손상된 광고인 악성 광고를 통해 배포되는 것으로 관찰되었습니다.

감염되면 Big Head는 합법적인 Windows 업데이트 프로세스를 모방하는 사기성 사용자 인터페이스를 제공하여 피해자가 악의적인 활동이 정품 소프트웨어 업데이트라고 믿도록 속입니다.

Big Head 분석의 한 인스턴스에서 대상 시스템에서 각각 다른 기능을 수행하는 세 개의 바이너리가 발견되었습니다. 이러한 기능에는 파일 암호화, 위협 행위자의 챗봇 ID와 상호 작용하는 Telegram 봇 배포, 가짜 Windows 업데이트 UI 표시, Read Me 파일 및 바탕 화면으로 랜섬 노트 설치가 포함됩니다.

teleratserver.exe라는 이름의 Telegram 봇을 담당하는 실행 파일은 64비트 Python으로 컴파일된 바이너리였습니다. 이 실행 파일은 '시작', '도움말', '스크린샷' 및 '메시지'와 같은 명령을 수락하여 메시징 응용 프로그램을 사용하여 피해자와 위협 행위자 간의 통신을 설정합니다.

기능 확장된 빅헤드 랜섬웨어 버전 발견

또 다른 예로, Big Head Ransomware의 두 번째 샘플은 데이터를 훔치는 추가 기능을 보여주었습니다. 다양한 유형의 정보 수집을 용이하게 하는 WorldWind Stealer 맬웨어를 통합했습니다. 여기에는 사용 가능한 모든 웹 브라우저의 검색 기록, 감염된 시스템의 디렉터리 및 실행 중인 프로세스 목록, 드라이버 복제본, 맬웨어 실행 후 캡처된 화면 스크린샷이 포함되었습니다.

또한 Big Head 랜섬웨어의 세 번째 샘플에는 실행 파일에 악성 코드를 주입하여 바이러스를 배포하도록 설계된 악성코드인 Neshta가 포함되어 있습니다. 연구원들은 Neshta를 랜섬웨어 배포에 통합하는 것이 최종 Big Head Ransomware 페이로드에 대한 위장 기술 역할을 한다고 강조했습니다. 그렇게 함으로써 맬웨어는 자신의 본질을 숨기고 바이러스와 같은 다른 유형의 위협으로 나타날 수 있습니다. 이 전술은 주로 랜섬웨어 탐지에 초점을 맞춘 보안 솔루션의 관심과 우선 순위를 전환하는 것을 목표로 합니다.

이러한 추가 기능의 포함과 위장 기술의 활용은 Big Head Ransomware의 진화하는 복잡성과 정교함을 보여줍니다. Big Head는 데이터 탈취 기능을 통합하고 다른 맬웨어 구성 요소를 활용하여 중요한 정보를 수집하고, 진정한 의도를 위장하고, 주로 랜섬웨어를 대상으로 하는 보안 조치를 우회하려고 시도합니다.