Des chercheurs découvrent de dangereux logiciels malveillants à grosse tête toujours en développement

Les chercheurs ont exprimé leurs inquiétudes concernant une nouvelle souche de rançongiciel appelée "Big Head" qui a le potentiel de causer des dommages importants une fois qu'elle sera pleinement opérationnelle. Plusieurs versions de Big Head ont été analysées, indiquant sa nature diverse et multiforme, ce qui pose des défis pour les futurs combats contre elle.

Trend Micro a signalé que bien qu'il n'y ait aucune preuve d'une utilisation réussie de Big Head, ses développeurs semblent être des acteurs de la menace expérimentés mais pas nécessairement sophistiqués. Les diverses fonctionnalités du malware, y compris les voleurs, les infecteurs et les échantillons de ransomware, sont inquiétantes et rendent la défense des systèmes plus difficile, car chaque vecteur d'attaque nécessite une attention particulière.

Les chercheurs soupçonnaient que les trois échantillons analysés de Big Head avaient été distribués via des publicités malveillantes se faisant passer pour de fausses mises à jour Windows et des installateurs Word. Le logiciel malveillant trompe les victimes en affichant une fausse interface utilisateur Windows Update, leur faisant croire qu'il s'agit d'un processus de mise à jour logicielle légitime.

Un échantillon de Big Head a déployé trois fichiers binaires exécutant des tâches telles que le cryptage de fichiers, le déploiement d'un bot Telegram, l'affichage de la fausse interface utilisateur de mise à jour Windows et l'installation de notes de rançon. L'exécutable responsable du bot Telegram a accepté les commandes pour communiquer avec l'auteur de la menace.

Un autre exemple comprenait des capacités de vol de données, la collecte de l'historique de navigation, des listes de répertoires, des processus en cours d'exécution, des pilotes et des captures d'écran. Le troisième échantillon incorporait Neshta, un malware distribuant des virus qui camoufle la charge utile finale du ransomware Big Head, détournant l'attention des solutions de sécurité axées sur la détection des ransomwares.

Bien que le groupe derrière Big Head reste inconnu, Trend Micro a découvert une chaîne YouTube et un nom d'utilisateur Telegram associés à l'acteur de la menace. Le logiciel malveillant se termine de lui-même si la langue du système correspond à certains codes de pays, suggérant un lien potentiel avec les anciens États soviétiques qui font désormais partie de la Communauté des États indépendants.

Pourquoi les pirates utilisent-ils souvent Telegram ?

Les pirates utilisent souvent Telegram pour plusieurs raisons :

Anonymat : Telegram offre un niveau d'anonymat aux utilisateurs. Il permet aux pirates de créer des comptes sans exiger d'informations personnellement identifiables et leur permet de communiquer sans révéler leur véritable identité.

Confidentialité et cryptage : Telegram offre un cryptage de bout en bout, ce qui signifie que les messages échangés entre les utilisateurs sont protégés et ne peuvent être décryptés que par les destinataires prévus. Ce cryptage fournit un canal de communication sécurisé permettant aux pirates de discuter et de coordonner leurs activités sans crainte d'être interceptés.

Chats et canaux de groupe : Telegram permet aux utilisateurs de créer des chats de groupe et des canaux publics, ce qui permet aux pirates de partager facilement des informations, de collaborer et de diffuser leurs outils, techniques et exploits malveillants à un large public. Ces fonctionnalités permettent aux pirates de former des communautés, de partager des connaissances et de coordonner leurs attaques.

Il est important de noter que si les pirates peuvent exploiter les fonctionnalités de confidentialité et de sécurité de Telegram pour leurs activités malveillantes, la plate-forme elle-même n'est pas intrinsèquement malveillante. Telegram est une application de messagerie légitime utilisée par des millions de personnes dans le monde à diverses fins, notamment la communication légitime et le partage de fichiers.