Forscher entdecken gefährliche Big-Head-Malware, die sich noch in der Entwicklung befindet

Forscher haben Bedenken hinsichtlich einer neuen Ransomware-Variante namens „Big Head“ geäußert, die das Potenzial hat, erheblichen Schaden anzurichten, sobald sie voll funktionsfähig ist. Mehrere Versionen von Big Head wurden analysiert, was auf seine vielfältige und vielschichtige Natur hinweist, die Herausforderungen für den zukünftigen Kampf gegen ihn mit sich bringt.

Trend Micro berichtete, dass es zwar keine Beweise für einen erfolgreichen Einsatz von Big Head gebe, seine Entwickler jedoch offenbar erfahrene, aber nicht unbedingt anspruchsvolle Bedrohungsakteure seien. Die verschiedenen Funktionalitäten der Malware, darunter Stealer, Infizierer und Ransomware-Samples, sind besorgniserregend und machen die Verteidigung von Systemen zu einer größeren Herausforderung, da jeder Angriffsvektor separate Aufmerksamkeit erfordert.

Die Forscher vermuteten, dass die drei analysierten Proben von Big Head über bösartige Werbung verbreitet wurden, die sich als gefälschte Windows-Updates und Word-Installationsprogramme ausgab. Die Malware täuscht Opfer, indem sie eine gefälschte Windows Update-Benutzeroberfläche anzeigt und sie glauben lässt, es handele sich um einen legitimen Software-Update-Prozess.

Ein Beispiel von Big Head stellte drei Binärdateien bereit, die Aufgaben wie Dateiverschlüsselung, Bereitstellung eines Telegram-Bots, Anzeige der gefälschten Windows-Update-Benutzeroberfläche und Installation von Lösegeldforderungen ausführten. Die für den Telegram-Bot verantwortliche ausführbare Datei akzeptierte Befehle zur Kommunikation mit dem Bedrohungsakteur.

Ein weiteres Beispiel umfasste Funktionen zum Datendiebstahl, das Sammeln von Browserverlauf, Verzeichnislisten, laufenden Prozessen, Treibern und Screenshots. Die dritte Probe enthielt Neshta, eine virenverbreitende Malware, die die endgültige Big Head-Ransomware-Payload tarnt und so die Aufmerksamkeit von Sicherheitslösungen ablenkt, die sich auf die Erkennung von Ransomware konzentrieren.

Obwohl die Gruppe hinter Big Head weiterhin unbekannt ist, hat Trend Micro einen YouTube-Kanal und einen Telegram-Benutzernamen entdeckt, die mit dem Bedrohungsakteur in Verbindung stehen. Die Malware beendet sich selbst, wenn die Systemsprache mit bestimmten Ländercodes übereinstimmt, was auf eine mögliche Verbindung zu den ehemaligen Sowjetstaaten hindeutet, die heute zur Gemeinschaft Unabhängiger Staaten gehören.

Warum nutzen Hacker oft Telegram?

Hacker nutzen Telegram häufig aus mehreren Gründen:

Anonymität: Telegram bietet Benutzern ein gewisses Maß an Anonymität. Es ermöglicht Hackern, Konten zu erstellen, ohne dass personenbezogene Daten erforderlich sind, und ermöglicht ihnen die Kommunikation, ohne ihre wahre Identität preiszugeben.

Datenschutz und Verschlüsselung: Telegram bietet eine Ende-zu-Ende-Verschlüsselung, was bedeutet, dass zwischen Benutzern ausgetauschte Nachrichten geschützt sind und nur von den vorgesehenen Empfängern entschlüsselt werden können. Diese Verschlüsselung bietet Hackern einen sicheren Kommunikationskanal, über den sie ihre Aktivitäten besprechen und koordinieren können, ohne befürchten zu müssen, dass sie abgehört werden.

Gruppenchats und -kanäle: Mit Telegram können Benutzer Gruppenchats und öffentliche Kanäle erstellen, sodass Hacker problemlos Informationen austauschen, zusammenarbeiten und ihre bösartigen Tools, Techniken und Exploits an ein breites Publikum verbreiten können. Diese Funktionen ermöglichen es Hackern, Communities zu bilden, Wissen auszutauschen und ihre Angriffe zu koordinieren.

Es ist wichtig zu beachten, dass Hacker zwar die Datenschutz- und Sicherheitsfunktionen von Telegram für ihre böswilligen Aktivitäten ausnutzen können, die Plattform selbst jedoch nicht per se bösartig ist. Telegram ist eine legitime Messaging-App, die von Millionen Menschen weltweit für verschiedene Zwecke verwendet wird, einschließlich legitimer Kommunikation und Dateifreigabe.