Big Head Ransomware
安全研究人员发现了一种名为“Big Head”的新型勒索软件,该病毒一旦全面运行可能会造成重大损害,因此引起了人们的担忧。我们对“大头”的多个不同版本进行了分析,揭示了其多样性和多方面的性质,这对未来的缓解工作提出了重大挑战。
Big Head 背后的开发人员表现出了一定水平的经验,尽管他们可能不被认为是高度复杂的威胁参与者。他们在恶意软件中整合各种功能(包括窃取程序、感染程序和勒索软件样本)的能力尤其令人震惊。这种多方面的方法使恶意软件能够在达到其全部运行能力时造成重大损害。由于需要单独解决每个攻击向量,防御大头变得更具挑战性。
鉴于“大头”的复杂性及其进一步发展的潜力,安全专家对其可能对目标系统产生的影响和影响感到担忧。恶意软件的多功能设计要求组织和安全专业人员采用全面的防御方法,同时关注多个方面和漏洞。
攻击者使用虚假的 Microsoft 广告作为诱饵
据观察,Big Head 勒索软件是通过恶意广告传播的,这些广告是伪装成虚假 Windows 更新或 Word 安装程序的损坏广告。
感染后,Big Head 会呈现一个欺骗性的用户界面,模仿合法的 Windows 更新过程,欺骗受害者相信恶意活动是正版软件更新。
在 Big Head 分析的一个实例中,发现了三个二进制文件,每个二进制文件在目标系统上都有不同的功能。这些功能包括文件加密、部署与威胁参与者的聊天机器人 ID 交互的 Telegram 机器人、显示虚假的 Windows 更新 UI,以及将勒索字条安装为自述文件和壁纸。
负责 Telegram 机器人的可执行文件名为 teleratserver.exe,是一个 64 位 Python 编译的二进制文件。该可执行文件接受“开始”、“帮助”、“屏幕截图”和“消息”等命令,以使用消息传递应用程序在受害者和威胁行为者之间建立通信
已发现具有扩展功能的大头勒索软件版本
在另一个例子中,Big Head 勒索软件的第二个样本展示了窃取数据的附加功能。它包含了 WorldWind Stealer 恶意软件,有助于收集各种类型的信息。其中包括所有可用网络浏览器的浏览历史记录、受感染系统上的目录和正在运行的进程列表、驱动程序副本以及恶意软件执行后捕获的屏幕截图。
此外,Big Head 勒索软件的第三个样本携带Neshta ,这是一种恶意软件,旨在通过将恶意代码注入可执行文件来传播病毒。研究人员强调,将 Neshta 集成到勒索软件部署中可以作为最终 Big Head 勒索软件有效负载的伪装技术。通过这样做,恶意软件可以掩盖其真实本质并显示为不同类型的威胁,例如病毒。这种策略旨在转移主要关注检测勒索软件的安全解决方案的注意力和优先级。
这些附加功能的加入和伪装技术的使用表明了 Big Head 勒索软件不断演变的复杂性和复杂性。通过整合数据窃取功能并利用其他恶意软件组件,Big Head 试图收集有价值的信息,掩盖其真实意图,并可能规避主要针对勒索软件的安全措施。
