Big Head Ransomware
Các nhà nghiên cứu bảo mật đã xác định được một chủng ransomware mới và đang nổi lên có tên là 'Big Head' đã gây lo ngại do khả năng gây ra thiệt hại đáng kể sau khi hoạt động đầy đủ. Nhiều phiên bản riêng biệt của Big Head đã được phân tích, cho thấy bản chất đa dạng và nhiều mặt của nó, điều này đặt ra những thách thức đáng kể cho các nỗ lực giảm thiểu trong tương lai.
Các nhà phát triển đằng sau Big Head thể hiện một mức độ kinh nghiệm nhất định, mặc dù họ có thể không được coi là những tác nhân đe dọa rất tinh vi. Khả năng kết hợp các chức năng khác nhau trong phần mềm độc hại của họ, bao gồm cả kẻ đánh cắp, kẻ lây nhiễm và mẫu mã độc tống tiền, đặc biệt đáng báo động. Cách tiếp cận nhiều mặt này cho phép phần mềm độc hại có khả năng gây ra tác hại đáng kể khi nó đạt đến công suất hoạt động tối đa. Bảo vệ chống lại Big Head trở nên khó khăn hơn do cần phải giải quyết từng vectơ tấn công riêng biệt.
Do tính chất phức tạp của Big Head và tiềm năng phát triển hơn nữa của nó, các chuyên gia bảo mật e ngại về những tác động và tác động mà nó có thể gây ra đối với các hệ thống được nhắm mục tiêu. Thiết kế đa chức năng của phần mềm độc hại yêu cầu các tổ chức và chuyên gia bảo mật áp dụng cách tiếp cận toàn diện để phòng thủ, tập trung đồng thời vào nhiều khía cạnh và lỗ hổng.
Những kẻ tấn công sử dụng quảng cáo giả mạo của Microsoft làm mồi nhử
Big Head Ransomware đã được quan sát thấy đang được phân phối thông qua các quảng cáo độc hại, là các quảng cáo bị hỏng được ngụy trang dưới dạng các bản cập nhật Windows hoặc trình cài đặt Word giả mạo.
Khi bị lây nhiễm, Big Head trình bày một giao diện người dùng lừa đảo bắt chước quy trình Windows Update hợp pháp, lừa nạn nhân tin rằng hoạt động độc hại là một bản cập nhật phần mềm chính hãng.
Trong một trường hợp phân tích Big Head, ba mã nhị phân đã được phát hiện, mỗi mã phục vụ các chức năng khác nhau trên hệ thống được nhắm mục tiêu. Các chức năng này bao gồm mã hóa tệp, triển khai bot Telegram tương tác với ID chatbot của tác nhân đe dọa, hiển thị giao diện người dùng cập nhật Windows giả mạo và cài đặt ghi chú tiền chuộc dưới dạng tệp Read Me và hình nền.
Tệp thực thi chịu trách nhiệm về bot Telegram, có tên là teleratserver.exe, là một tệp nhị phân 64-bit do Python biên dịch. Các lệnh được chấp nhận có thể thực thi này như 'bắt đầu', 'trợ giúp', 'ảnh chụp màn hình' và 'tin nhắn' để thiết lập liên lạc giữa nạn nhân và tác nhân đe dọa bằng ứng dụng nhắn tin
Các phiên bản ransomware Big Head với chức năng mở rộng đã được phát hiện
Trong một trường hợp khác, mẫu thứ hai của Big Head Ransomware đã thể hiện các khả năng bổ sung để đánh cắp dữ liệu. Nó kết hợp phần mềm độc hại WorldWind Stealer, tạo điều kiện thuận lợi cho việc thu thập nhiều loại thông tin khác nhau. Điều này bao gồm lịch sử duyệt web từ tất cả các trình duyệt web có sẵn, danh sách thư mục và quy trình đang chạy trên hệ thống bị nhiễm, bản sao trình điều khiển và ảnh chụp màn hình được chụp sau khi phần mềm độc hại được thực thi.
Hơn nữa, một mẫu thứ ba của Big Head Ransomware mang theo Neshta , một phần mềm độc hại được thiết kế để phát tán vi-rút bằng cách đưa mã độc vào các tệp thực thi. Các nhà nghiên cứu nhấn mạnh rằng việc tích hợp Neshta vào quá trình triển khai ransomware phục vụ như một kỹ thuật ngụy trang cho tải trọng Big Head Ransomware cuối cùng. Bằng cách đó, phần mềm độc hại có thể che giấu bản chất thực sự của nó và xuất hiện dưới dạng một loại mối đe dọa khác, chẳng hạn như vi-rút. Chiến thuật này nhằm chuyển hướng sự chú ý và ưu tiên của các giải pháp bảo mật chủ yếu tập trung vào việc phát hiện ransomware.
Việc bao gồm các chức năng bổ sung này và việc sử dụng các kỹ thuật ngụy trang chứng tỏ sự phức tạp và tinh vi ngày càng tăng của Big Head Ransomware. Bằng cách kết hợp các khả năng đánh cắp dữ liệu và tận dụng các thành phần phần mềm độc hại khác, Big Head cố gắng thu thập thông tin có giá trị, che giấu ý định thực sự của nó và có khả năng phá vỡ các biện pháp bảo mật chủ yếu nhắm vào phần mềm tống tiền.
