New ‘Big Head’ ransomware displays fake Windows update alert


Security


Το νέο ransomware «Big Head» εμφανίζει ψεύτικη ειδοποίηση ενημέρωσης των Windows

Ερευνητές ασφαλείας έχουν αναλύσει ένα στέλεχος

που εμφανίστηκε πρόσφατα με το όνομα «Big Head» που μπορεί να εξαπλώνεται μέσω κακόβουλης διαφήμισης που προωθεί ψεύτικες ενημερώσεις των

και προγράμματα εγκατάστασης του

Word.

Δύο δείγματα του κακόβουλου λογισμικού έχουν αναλυθεί στο παρελθόν από εταιρεία κυβερνοασφάλειας

Fortinet

ο οποίος εξέτασε τον φορέα μόλυνσης και τον τρόπο εκτέλεσης του κακόβουλου λογισμικού.

Σήμερα, η Trend Micro δημοσίευσε ένα

τεχνική έκθεση για το Big Head

ότι ο ισχυρισμός ότι και οι δύο παραλλαγές και μια τρίτη δειγματοληψία προέρχονται από έναν μόνο χειριστή που πιθανότατα πειραματίζεται με διαφορετικές προσεγγίσεις για να βελτιστοποιήσει τις επιθέσεις του.

Προσποίηση μιας ενημέρωσης των Windows

Το ransomware “Big Head” είναι ένα δυαδικό αρχείο .NET που εγκαθιστά τρία κρυπτογραφημένα αρχεία AES στο σύστημα προορισμού: το ένα χρησιμοποιείται για τη διάδοση του κακόβουλου λογισμικού, το άλλο για την επικοινωνία με ρομπότ

και το τρίτο κρυπτογραφεί αρχεία και μπορεί επίσης να δείξει στον χρήστη ένα ψεύτικο Ενημερωμένη έκδοση για Windows.

Ρουτίνα μόλυνσης του Big Head

Ρουτίνα μόλυνσης του Big Head


(Trend Micro)

Κατά την εκτέλεση, το ransomware εκτελεί επίσης ενέργειες όπως η δημιουργία ενός κλειδιού αυτόματης εκτέλεσης μητρώου, η αντικατάσταση υπαρχόντων αρχείων εάν χρειάζεται, ο ορισμός των χαρακτηριστικών αρχείων συστήματος και η απενεργοποίηση του Task Manager.

Τροποποίηση του μητρώου των θυμάτων

Δημιουργία του Μητρώου Autorun


(Trend Micro)

Σε κάθε θύμα εκχωρείται ένα μοναδικό αναγνωριστικό που είτε ανακτάται από τον κατάλογο %appdata%ID είτε δημιουργείται χρησιμοποιώντας μια τυχαία συμβολοσειρά 40 χαρακτήρων.

Το ransomware διαγράφει σκιώδη αντίγραφα για να αποτρέψει την εύκολη επαναφορά του συστήματος πριν κρυπτογραφήσει τα στοχευμένα αρχεία και προσαρτήσει μια επέκταση “.poop” στα ονόματα των αρχείων τους.

Τύποι αρχείων που στοχεύουν το Big Head

Τύποι αρχείων που στοχεύουν το Big Head


(Trend Micro)

Επίσης, το Big Head θα τερματίσει τις ακόλουθες διαδικασίες για να αποτρέψει την παραβίαση της διαδικασίας κρυπτογράφησης και να ελευθερώσει δεδομένα που θα πρέπει να κλειδώσει το κακόβουλο λογισμικό.

Οι διεργασίες τερματίστηκαν πριν από την κρυπτογράφηση

Οι διεργασίες τερματίστηκαν πριν από την κρυπτογράφηση


(Trend Micro)

Οι κατάλογοι Windows, Recycle Bin, Program Files, Temp, Program

, Microsoft και App Data παραλείπονται από την κρυπτογράφηση για να αποφευχθεί η αχρηστία του συστήματος.

Η Trend Micro ανακάλυψε ότι το ransomware ελέγχει εάν εκτελείται σε εικονικό κουτί, αναζητά τη γλώσσα του συστήματος και προχωρά στην κρυπτογράφηση μόνο εάν δεν έχει ρυθμιστεί σε αυτήν μιας χώρας μέλους της Κοινοπολιτείας Ανεξάρτητων Κρατών (πρώην Σοβιετικά κράτη).

Γλώσσες συστήματος έγκυρες για κρυπτογράφηση

Γλώσσες συστήματος έγκυρες για κρυπτογράφηση


(Trend Micro)

Κατά τη διάρκεια της κρυπτογράφησης, το ransomware εμφανίζει μια οθόνη που υποτίθεται ότι είναι μια νόμιμη ενημέρωση των Windows.

Παρουσιάστηκε ψεύτικη ενημέρωση των Windows στο θύμα

Ψεύτικη ενημέρωση των Windows που καλύπτει την κρυπτογράφηση του αρχείου


(Trend Micro)

Μετά την ολοκλήρωση της διαδικασίας κρυπτογράφησης, τα ακόλουθα λύτρα απορρίπτονται σε πολλούς καταλόγους και η ταπετσαρία του θύματος αλλάζει επίσης για να ειδοποιεί για τη μόλυνση.

Ταπετσαρία και σημείωμα λύτρων

Ταπετσαρία και σημείωμα λύτρων


(Trend Micro)

Άλλες παραλλαγές

Η Trend Micro ανέλυσε επίσης δύο ακόμη παραλλαγές Big Head, επισημαίνοντας ορισμένες βασικές διαφορές σε σύγκριση με την τυπική έκδοση του ransomware.

Η δεύτερη παραλλαγή διατηρεί τις δυνατότητες ransomware, αλλά ενσωματώνει επίσης συμπεριφορά κλέφτη με λειτουργίες συλλογής και διείσδυσης ευαίσθητων δεδομένων από το σύστημα του θύματος.

Τα δεδομένα που μπορεί να κλέψει αυτή η έκδοση του Big Head περιλαμβάνουν ιστορικό περιήγησης, λίστα καταλόγων, εγκατεστημένα προγράμματα οδήγησης, εκτελούμενες διαδικασίες, κλειδί προϊόντος και ενεργά δίκτυα, ενώ μπορεί επίσης να καταγράψει στιγμιότυπα οθόνης.

Δεύτερη παραλλαγή ρουτίνας μόλυνσης

Δεύτερη παραλλαγή ρουτίνας μόλυνσης


(Trend Micro)

Η τρίτη παραλλαγή, που ανακαλύφθηκε από την Trend Micro, διαθέτει ένα εργαλείο μόλυνσης αρχείων που προσδιορίζεται ως “Neshta”, το οποίο εισάγει κακόβουλο κώδικα σε εκτελέσιμα αρχεία στο σύστημα που έχει παραβιαστεί.

Αν και ο ακριβής σκοπός αυτού δεν είναι σαφής, οι αναλυτές της Trend Micro εικάζουν ότι θα μπορούσε να είναι η αποφυγή ανίχνευσης που βασίζεται σε μηχανισμούς που βασίζονται στην υπογραφή.

Συγκεκριμένα, αυτή η παραλλαγή χρησιμοποιεί διαφορετική σημείωση λύτρων και ταπετσαρία από τις άλλες δύο, ωστόσο εξακολουθεί να είναι συνδεδεμένη με τον ίδιο παράγοντα απειλής.

Τρίτη παραλλαγή ρουτίνας μόλυνσης

Τρίτη παραλλαγή ρουτίνας μόλυνσης


(Trend Micro)

συμπέρασμα

Η Trend Micro σχολιάζει ότι το Big Head δεν είναι ένα εξελιγμένο στέλεχος ransomware, οι μέθοδοι κρυπτογράφησης είναι αρκετά τυπικές και οι τεχνικές αποφυγής είναι εύκολο να εντοπιστούν.

Ωστόσο, φαίνεται να επικεντρώνεται σε καταναλωτές που μπορούν να ξεγελαστούν με εύκολα κόλπα (π.χ. ψεύτικη ενημέρωση των Windows) ή δυσκολεύονται να κατανοήσουν τις απαραίτητες διασφαλίσεις για να απομακρυνθούν από τους κινδύνους της κυβερνοασφάλειας.

Οι πολλαπλές παραλλαγές που κυκλοφορούν υποδηλώνουν ότι οι δημιουργοί του Big Head αναπτύσσουν και βελτιώνουν συνεχώς το κακόβουλο λογισμικό, πειραματίζονται με διάφορες προσεγγίσεις για να δουν τι λειτουργεί καλύτερα.


bleepingcomputer.com










You might also like


Security




Κυκλοφόρησαν οι ενημερώσεις των Windows 10 KB5028168 και KB5028166



Security




Κυκλοφόρησε η αθροιστική ενημερωμένη έκδοση των Windows 11 KB5028185 με λειτουργίες…



Security




Το μη επιδιορθωμένο Office zero-day που αξιοποιήθηκε στις επιθέσεις της συνόδου…



Security




Microsoft July 2023 Patch Tuesday warns of 6 zero-days, 132 flaws



Leave A Reply



Cancel Reply

Your email address will not be published.