Big Head Ransomware
安全研究人員發現了一種名為“Big Head”的新型勒索軟件,該病毒一旦全面運行可能會造成重大損害,因此引起了人們的擔憂。我們對“大頭”的多個不同版本進行了分析,揭示了其多樣性和多方面的性質,這對未來的緩解工作提出了重大挑戰。
Big Head 背後的開發人員表現出了一定水平的經驗,儘管他們可能不被認為是高度複雜的威脅參與者。他們在惡意軟件中整合各種功能(包括竊取程序、感染程序和勒索軟件樣本)的能力尤其令人震驚。這種多方面的方法使惡意軟件能夠在達到其全部運行能力時造成重大損害。由於需要單獨解決每個攻擊向量,防禦大頭變得更具挑戰性。
鑑於“大頭”的複雜性及其進一步發展的潛力,安全專家對其可能對目標系統產生的影響和影響感到擔憂。惡意軟件的多功能設計要求組織和安全專業人員採用全面的防禦方法,同時關注多個方面和漏洞。
攻擊者使用虛假的 Microsoft 廣告作為誘餌
據觀察,Big Head 勒索軟件是通過惡意廣告傳播的,這些廣告是偽裝成虛假 Windows 更新或 Word 安裝程序的損壞廣告。
感染後,Big Head 會呈現一個欺騙性的用戶界面,模仿合法的 Windows 更新過程,欺騙受害者相信惡意活動是正版軟件更新。
在 Big Head 分析的一個實例中,發現了三個二進製文件,每個二進製文件在目標系統上都有不同的功能。這些功能包括文件加密、部署與威脅參與者的聊天機器人 ID 交互的 Telegram 機器人、顯示虛假的 Windows 更新 UI,以及將勒索字條安裝為自述文件和壁紙。
負責 Telegram 機器人的可執行文件名為 teleratserver.exe,是一個 64 位 Python 編譯的二進製文件。該可執行文件接受“開始”、“幫助”、“屏幕截圖”和“消息”等命令,以使用消息傳遞應用程序在受害者和威脅行為者之間建立通信
已發現具有擴展功能的大頭勒索軟件版本
在另一個例子中,Big Head 勒索軟件的第二個樣本展示了竊取數據的附加功能。它包含了 WorldWind Stealer 惡意軟件,有助於收集各種類型的信息。這包括所有可用網絡瀏覽器的瀏覽歷史記錄、受感染系統上的目錄和正在運行的進程列表、驅動程序副本以及惡意軟件執行後捕獲的屏幕截圖。
此外,Big Head 勒索軟件的第三個樣本攜帶Neshta ,這是一種惡意軟件,旨在通過將惡意代碼注入可執行文件來傳播病毒。研究人員強調,將 Neshta 集成到勒索軟件部署中可以作為最終 Big Head 勒索軟件有效負載的偽裝技術。通過這樣做,惡意軟件可以掩蓋其真實本質並顯示為不同類型的威脅,例如病毒。這種策略旨在轉移主要關注檢測勒索軟件的安全解決方案的注意力和優先級。
這些附加功能的加入和偽裝技術的使用表明了 Big Head 勒索軟件不斷演變的複雜性和復雜性。通過整合數據竊取功能並利用其他惡意軟件組件,Big Head 試圖收集有價值的信息,掩蓋其真實意圖,並可能規避主要針對勒索軟件的安全措施。
