Big Head Ransomware
Os pesquisadores de segurança identificaram uma nova e emergente variedade de ransomware chamada 'Big Head', que levantou preocupações devido ao seu potencial de infligir danos substanciais quando estiver totalmente operacional. Múltiplas versões distintas do Big Head foram analisadas, revelando sua natureza diversa e multifacetada, o que representa desafios significativos para futuros esforços de mitigação.
Os desenvolvedores por trás do Big Head exibem um certo nível de experiência, embora possam não ser considerados agentes de ameaças altamente sofisticados. Sua capacidade de incorporar várias funcionalidades no malware, incluindo ladrões, infectadores e amostras de ransomware, é particularmente alarmante. Essa abordagem multifacetada concede ao malware a capacidade de causar danos significativos quando atinge sua capacidade operacional total. A defesa contra Big Head se torna mais desafiadora devido à necessidade de abordar cada vetor de ataque separadamente.
Dada a natureza complexa do Big Head e seu potencial para evoluir ainda mais, os especialistas em segurança estão apreensivos com as implicações e o impacto que ele pode ter nos sistemas visados. O design multifuncional do malware exige que organizações e profissionais de segurança adotem uma abordagem abrangente de defesa, com foco em vários aspectos e vulnerabilidades simultaneamente.
Os Invasores Usam Anúncios Falsos da Microsoft como Iscas
O Big Head Ransomware foi observado sendo distribuído por meio de malvertisements, que são anúncios corrompidos disfarçados de atualizações falsas do Windows ou instaladores do Word.
Após a infecção, o Big Head apresenta uma interface de usuário enganosa que imita um processo legítimo do Windows Update, levando as vítimas a acreditar que a atividade maliciosa é uma atualização de software genuína.
Em uma instância da análise do Big Head, três binários foram descobertos, cada um servindo a funções diferentes no sistema de destino. Essas funções incluíam criptografia de arquivos, a implantação de um bot do Telegram que interagia com o ID do chatbot do agente da ameaça, a exibição da falsa interface do usuário de atualização do Windows e a instalação de notas de resgate como arquivos Leia-me e papel de parede.
O executável responsável pelo bot do Telegram, chamado teleratserver.exe, era um binário compilado em Python de 64 bits. Este executável aceitava comandos como 'iniciar', 'ajuda', 'captura de tela' e 'mensagem' para estabelecer comunicação entre a vítima e o agente da ameaça usando o aplicativo de mensagens
Versões do Big Head Ransomware com Funcionalidade Expandida foram Descobertas
Em outro caso, uma segunda amostra do Big Head Ransomware demonstrou recursos adicionais para roubar dados. Ele incorporou o malware WorldWind Stealer, que facilitou a coleta de vários tipos de informações. Isso incluía o histórico de navegação de todos os navegadores da Web disponíveis, listas de diretórios e processos em execução no sistema infectado, uma réplica dos drivers e uma captura de tela da tela capturada após a execução do malware.
Além disso, uma terceira amostra do Big Head Ransomware carregava Neshta, um malware projetado para distribuir vírus injetando código malicioso em arquivos executáveis. Os pesquisadores destacaram que a integração do Neshta na implantação do ransomware serve como uma técnica de camuflagem para a carga útil final do Big Head Ransomware. Ao fazer isso, o malware pode mascarar sua verdadeira natureza e aparecer como um tipo diferente de ameaça, como um vírus. Essa tática visa desviar a atenção e priorizar as soluções de segurança que se concentram principalmente na detecção de ransomware.
A inclusão dessas funcionalidades adicionais e a utilização de técnicas de camuflagem demonstram a evolução da complexidade e sofisticação do Big Head Ransomware. Ao incorporar recursos de roubo de dados e alavancar outros componentes de malware, o Big Head tenta coletar informações valiosas, disfarçar sua verdadeira intenção e potencialmente contornar as medidas de segurança que visam principalmente o ransomware.
