Forskere opdager farlig Big Head-malware, der stadig er under udvikling

Forskere har udtrykt bekymring over en ny ransomware-stamme kaldet "Big Head", der har potentialet til at forårsage betydelig skade, når den bliver fuldt operationel. Adskillige versioner af Big Head er blevet analyseret, hvilket indikerer dets mangfoldige og mangefacetterede karakter, hvilket udgør udfordringer for fremtidig kamp mod det.

Trend Micro rapporterede, at selvom der ikke er beviser for vellykket brug af Big Head, så ser dets udviklere ud til at være erfarne, men ikke nødvendigvis sofistikerede trusselsaktører. Malwarens forskellige funktionaliteter, herunder tyvere, infektorer og ransomware-prøver, er bekymrende og gør det mere udfordrende at forsvare systemer, da hver angrebsvektor kræver særskilt opmærksomhed.

Forskerne havde mistanke om, at de tre analyserede prøver af Big Head blev distribueret gennem ondsindede reklamer, der udgav sig som falske Windows-opdateringer og Word-installationsprogrammer. Malwaren bedrager ofrene ved at vise en falsk Windows Update-brugergrænseflade, hvilket får dem til at tro, at det er en legitim softwareopdateringsproces.

En prøve af Big Head implementerede tre binære filer, der udførte opgaver såsom filkryptering, implementering af en Telegram-bot, visning af den falske Windows-opdateringsbrugergrænseflade og installation af løsesumsedler. Den eksekverbare, der er ansvarlig for Telegram-bot, accepterede kommandoer til at kommunikere med trusselsaktøren.

Et andet eksempel omfattede datatyveri, indsamling af browserhistorik, bibliotekslister, kørende processer, drivere og skærmbilleder. Den tredje prøve inkorporerede Neshta, en virus-distribuerende malware, der camouflerer den endelige Big Head ransomware-nyttelast og afleder opmærksomheden fra sikkerhedsløsninger, der fokuserer på at opdage ransomware.

Selvom gruppen bag Big Head forbliver ukendt, opdagede Trend Micro en YouTube-kanal og et Telegram-brugernavn forbundet med trusselsaktøren. Malwaren stopper af sig selv, hvis systemsproget matcher visse landekoder, hvilket tyder på en potentiel forbindelse til de tidligere sovjetstater, der nu er en del af Commonwealth of Independent States.

Hvorfor bruger hackere ofte Telegram?

Hackere bruger ofte Telegram af flere årsager:

Anonymitet: Telegram giver brugerne et niveau af anonymitet. Det giver hackere mulighed for at oprette konti uden at kræve personligt identificerbare oplysninger og sætter dem i stand til at kommunikere uden at afsløre deres sande identitet.

Privatliv og kryptering: Telegram tilbyder end-to-end-kryptering, hvilket betyder, at beskeder, der udveksles mellem brugere, er beskyttet og kun kan dekrypteres af de tilsigtede modtagere. Denne kryptering giver en sikker kommunikationskanal, hvor hackere kan diskutere og koordinere deres aktiviteter uden frygt for aflytning.

Gruppechats og kanaler: Telegram giver brugerne mulighed for at oprette gruppechat og offentlige kanaler, hvilket gør det nemt for hackere at dele information, samarbejde og sprede deres ondsindede værktøjer, teknikker og udnyttelser til et bredt publikum. Disse funktioner gør det muligt for hackere at danne fællesskaber, dele viden og koordinere deres angreb.

Det er vigtigt at bemærke, at selvom hackere kan udnytte privatlivs- og sikkerhedsfunktionerne i Telegram til deres ondsindede aktiviteter, er selve platformen ikke i sig selv ondsindet. Telegram er en legitim beskedapp, der bruges af millioner af mennesker verden over til forskellige formål, herunder legitim kommunikation og fildeling.