Big Head Ransomware
Güvenlik araştırmacıları, "Big Head" adlı yeni ve ortaya çıkmakta olan bir fidye yazılımı türü belirlediler. Big Head'in birden fazla farklı versiyonu analiz edilerek, onun çeşitli ve çok yönlü doğası ortaya çıkarılmıştır, bu da gelecekteki hafifletme çabaları için önemli zorluklar teşkil etmektedir.
Big Head'in arkasındaki geliştiriciler, çok gelişmiş tehdit aktörleri olarak kabul edilmeseler de belirli bir düzeyde deneyim sergiliyorlar. Hırsızlar, bulaşıcılar ve fidye yazılımı örnekleri dahil olmak üzere çeşitli işlevleri kötü amaçlı yazılıma dahil etme yetenekleri özellikle endişe vericidir. Bu çok yönlü yaklaşım, kötü amaçlı yazılıma tam operasyonel kapasitesine ulaştığında önemli ölçüde zarar verme yeteneği verir. Her saldırı vektörünü ayrı ayrı ele alma ihtiyacı nedeniyle Big Head'e karşı savunma yapmak daha zor hale gelir.
Big Head'in karmaşık doğası ve daha fazla gelişme potansiyeli göz önüne alındığında, güvenlik uzmanları, hedeflenen sistemler üzerindeki etkileri ve etkileri konusunda endişeli. Kötü amaçlı yazılımın çok işlevli tasarımı, kuruluşların ve güvenlik uzmanlarının, aynı anda birden fazla yöne ve güvenlik açığına odaklanan kapsamlı bir savunma yaklaşımı benimsemesini gerektirir.
Saldırganlar Sahte Microsoft Reklamlarını Yem Olarak Kullanıyor
Big Head Fidye Yazılımının, sahte Windows güncellemeleri veya Word yükleyicileri olarak gizlenen bozuk reklamlar olan kötü amaçlı reklamlar yoluyla dağıtıldığı gözlemlendi.
Big Head, virüs bulaştığında, meşru bir Windows Update sürecini taklit eden aldatıcı bir kullanıcı arabirimi sunarak kurbanları kötü amaçlı etkinliğin gerçek bir yazılım güncellemesi olduğuna inandırmaya çalışır.
Big Head analizinin bir örneğinde, her biri hedeflenen sistemde farklı işlevlere hizmet eden üç ikili dosya keşfedildi. Bu işlevler arasında dosya şifreleme, tehdit aktörünün sohbet robotu kimliğiyle etkileşime giren bir Telegram botunun konuşlandırılması, sahte Windows güncelleme kullanıcı arayüzünün görüntülenmesi ve fidye notlarının Beni Oku dosyaları ve duvar kağıdı olarak yüklenmesi yer alıyor.
Telegram botundan sorumlu yürütülebilir dosya, teleratserver.exe adlı, 64-bit Python derlenmiş bir ikili programdı. Bu yürütülebilir dosya, mesajlaşma uygulamasını kullanarak kurban ile tehdit aktörü arasında iletişim kurmak için 'başlat', 'yardım', 'ekran görüntüsü' ve 'mesaj' gibi komutları kabul etti.
Genişletilmiş İşlevselliğe Sahip Big Head Fidye Yazılımı Sürümleri Keşfedildi
Başka bir örnekte, Big Head Ransomware'in ikinci bir örneği, veri çalmak için ek yetenekler gösterdi. Çeşitli bilgi türlerinin toplanmasını kolaylaştıran WorldWind Stealer kötü amaçlı yazılımını dahil etti. Buna, mevcut tüm web tarayıcılarından tarama geçmişi, dizin listeleri ve virüs bulaşmış sistemdeki çalışan işlemler, sürücülerin bir kopyası ve kötü amaçlı yazılım yürütüldükten sonra alınan ekranın ekran görüntüsü dahildir.
Ayrıca, Big Head Ransomware'in üçüncü bir örneği, yürütülebilir dosyalara kötü amaçlı kod enjekte ederek virüsleri dağıtmak için tasarlanmış bir kötü amaçlı yazılım olan Neshta'yı taşıyordu. Araştırmacılar, Neshta'yı fidye yazılımı dağıtımına entegre etmenin, son Big Head Fidye Yazılımı yükü için bir kamuflaj tekniği işlevi gördüğünün altını çizdiler. Kötü amaçlı yazılım bunu yaparak gerçek doğasını maskeleyebilir ve virüs gibi farklı bir tehdit türü olarak görünebilir. Bu taktik, öncelikle fidye yazılımlarını tespit etmeye odaklanan güvenlik çözümlerinin dikkatini ve önceliklendirmesini başka yöne çekmeyi amaçlar.
Bu ek işlevlerin dahil edilmesi ve kamuflaj tekniklerinin kullanılması, Big Head Ransomware'in gelişen karmaşıklığını ve karmaşıklığını göstermektedir. Big Head, veri çalma yeteneklerini birleştirerek ve diğer kötü amaçlı yazılım bileşenlerinden yararlanarak değerli bilgiler toplamaya, gerçek amacını gizlemeye ve birincil olarak fidye yazılımlarını hedefleyen güvenlik önlemlerini potansiyel olarak atlatmaya çalışır.
