Big Head Ransomware

Исследователи безопасности выявили новый и появляющийся штамм программы-вымогателя под названием «Большая голова», который вызывает опасения из-за его способности нанести значительный ущерб после того, как он полностью заработает. Было проанализировано несколько различных версий Big Head, что выявило его разнообразный и многогранный характер, который создает серьезные проблемы для будущих усилий по смягчению последствий.

Разработчики Big Head демонстрируют определенный уровень опыта, хотя их нельзя считать высококвалифицированными злоумышленниками. Особую тревогу вызывает их способность включать в себя различные функции вредоносного ПО, в том числе похитителей, заразителей и образцов программ-вымогателей. Этот многогранный подход дает вредоносным программам возможность причинить значительный вред, когда они достигают своей полной оперативной мощности. Защита от Big Head становится более сложной задачей из-за необходимости рассматривать каждый вектор атаки отдельно.

Учитывая сложный характер Big Head и его потенциал для дальнейшего развития, эксперты по безопасности опасаются последствий и влияния, которое он может оказать на целевые системы. Многофункциональный дизайн вредоносного ПО требует, чтобы организации и специалисты по безопасности применяли комплексный подход к защите, сосредоточив внимание одновременно на нескольких аспектах и уязвимостях.

Злоумышленники используют поддельную рекламу Microsoft в качестве приманки

Было замечено, что программа-вымогатель Big Head распространяется с помощью вредоносной рекламы, которая представляет собой поврежденную рекламу, замаскированную под поддельные обновления Windows или установщики Word.

После заражения Big Head представляет вводящий в заблуждение пользовательский интерфейс, который имитирует законный процесс обновления Windows, обманывая жертв, заставляя их поверить в то, что вредоносная активность является подлинным обновлением программного обеспечения.

В одном случае анализа Big Head были обнаружены три двоичных файла, каждый из которых выполнял разные функции в целевой системе. Эти функции включали шифрование файлов, развертывание бота Telegram, который взаимодействовал с идентификатором чат-бота злоумышленника, отображение фальшивого пользовательского интерфейса обновления Windows и установку заметок о выкупе в виде файлов Read Me и обоев.

Исполняемый файл, ответственный за бота Telegram, названный teleratserver.exe, представлял собой 64-битный двоичный файл, скомпилированный с помощью Python. Этот исполняемый файл принимал такие команды, как «Пуск», «Справка», «Снимок экрана» и «Сообщение», чтобы установить связь между жертвой и злоумышленником с помощью приложения для обмена сообщениями.

Обнаружены версии программ-вымогателей Big Head с расширенным функционалом

В другом случае второй образец программы-вымогателя Big Head продемонстрировал дополнительные возможности для кражи данных. В него было включено вредоносное ПО WorldWind Stealer, которое облегчало сбор различного рода информации. Это включало историю просмотров всех доступных веб-браузеров, списки каталогов и запущенных процессов в зараженной системе, реплику драйверов и скриншот экрана, сделанный после запуска вредоносного ПО.

Кроме того, третий образец программы-вымогателя Big Head содержал Neshta , вредоносное ПО, предназначенное для распространения вирусов путем внедрения вредоносного кода в исполняемые файлы. Исследователи подчеркнули, что интеграция Neshta в развертывание программ-вымогателей служит методом маскировки окончательной полезной нагрузки программ-вымогателей Big Head. Поступая таким образом, вредоносное ПО может маскировать свою истинную природу и выглядеть как другой тип угрозы, например вирус. Эта тактика направлена на отвлечение внимания и приоритизацию решений безопасности, которые в первую очередь сосредоточены на обнаружении программ-вымогателей.

Включение этих дополнительных функций и использование методов маскировки демонстрируют возрастающую сложность и изощренность программы-вымогателя Big Head. Включая возможности кражи данных и используя другие компоненты вредоносных программ, Big Head пытается собрать ценную информацию, скрыть свои истинные намерения и потенциально обойти меры безопасности, которые в первую очередь нацелены на программы-вымогатели.