Investigadores descubren peligroso malware Big Head aún en desarrollo

Los investigadores han expresado su preocupación por una nueva cepa de ransomware llamada "Big Head" que tiene el potencial de causar un daño significativo una vez que esté completamente operativa. Se han analizado varias versiones de Big Head, lo que indica su naturaleza diversa y multifacética, lo que plantea desafíos para el futuro combate contra él.

Trend Micro informó que aunque no hay evidencia de un uso exitoso de Big Head, sus desarrolladores parecen ser actores de amenazas experimentados pero no necesariamente sofisticados. Las diversas funcionalidades del malware, incluidos los ladrones, los infectores y las muestras de ransomware, son preocupantes y hacen que los sistemas de defensa sean más desafiantes, ya que cada vector de ataque requiere atención por separado.

Los investigadores sospecharon que las tres muestras analizadas de Big Head se distribuyeron a través de anuncios maliciosos disfrazados de actualizaciones falsas de Windows e instaladores de Word. El malware engaña a las víctimas mostrando una interfaz de usuario falsa de Windows Update, haciéndoles creer que es un proceso de actualización de software legítimo.

Una muestra de Big Head implementó tres binarios que ejecutaron tareas como el cifrado de archivos, la implementación de un bot de Telegram, la visualización de la interfaz de usuario de actualización de Windows falsa y la instalación de notas de rescate. El ejecutable responsable del bot de Telegram aceptó comandos para comunicarse con el actor de amenazas.

Otra muestra incluía capacidades de robo de datos, recopilación de historial de navegación, listas de directorios, procesos en ejecución, controladores y capturas de pantalla. La tercera muestra incorporó Neshta, un malware que distribuye virus y camufla la carga útil final del ransomware Big Head, desviando la atención de las soluciones de seguridad centradas en detectar el ransomware.

Aunque el grupo detrás de Big Head sigue siendo desconocido, Trend Micro descubrió un canal de YouTube y un nombre de usuario de Telegram asociado con el actor de amenazas. El malware termina si el idioma del sistema coincide con ciertos códigos de países, lo que sugiere una posible conexión con los antiguos estados soviéticos que ahora forman parte de la Comunidad de Estados Independientes.

¿Por qué los piratas informáticos suelen utilizar Telegram?

Los hackers a menudo usan Telegram por varias razones:

Anonimato: Telegram proporciona un nivel de anonimato a los usuarios. Permite a los piratas informáticos crear cuentas sin requerir información de identificación personal y les permite comunicarse sin revelar sus verdaderas identidades.

Privacidad y cifrado: Telegram ofrece cifrado de extremo a extremo, lo que significa que los mensajes intercambiados entre usuarios están protegidos y solo pueden ser descifrados por los destinatarios previstos. Este cifrado proporciona un canal de comunicación seguro para que los piratas informáticos discutan y coordinen sus actividades sin temor a ser interceptados.

Chats y canales grupales: Telegram permite a los usuarios crear chats grupales y canales públicos, lo que facilita que los piratas informáticos compartan información, colaboren y difundan sus herramientas, técnicas y exploits maliciosos a una amplia audiencia. Estas funciones permiten a los piratas informáticos formar comunidades, compartir conocimientos y coordinar sus ataques.

Es importante tener en cuenta que, si bien los piratas informáticos pueden explotar las funciones de privacidad y seguridad de Telegram para sus actividades maliciosas, la plataforma en sí no es inherentemente maliciosa. Telegram es una aplicación de mensajería legítima utilizada por millones de personas en todo el mundo para diversos fines, incluida la comunicación legítima y el intercambio de archivos.