A kutatók még fejlesztés alatt álló veszélyes, nagy fejű rosszindulatú szoftvereket fedeznek fel

A kutatók aggodalmukat fejezték ki a „Big Head” nevű új zsarolóvírus-törzzsel kapcsolatban, amely jelentős károkat okozhat, amint teljesen működőképes lesz. A Big Head számos változatát elemezték, jelezve annak sokrétű és sokrétű természetét, ami kihívásokat jelent az ellene folytatott jövőbeni harcban.

A Trend Micro arról számolt be, hogy bár nincs bizonyíték a Big Head sikeres használatára, úgy tűnik, hogy a fejlesztők tapasztalt, de nem feltétlenül kifinomult fenyegetés szereplői. A rosszindulatú program különféle funkciói, beleértve a lopókat, fertőzőket és zsarolóprogram-mintákat, aggasztóak, és nagyobb kihívást jelentenek a rendszerek védelmében, mivel minden támadási vektor külön figyelmet igényel.

A kutatók azt gyanították, hogy a Big Head három elemzett mintáját hamis Windows-frissítéseknek és Word-telepítőknek álcázott rosszindulatú hirdetéseken keresztül terjesztették. A kártevő megtéveszti az áldozatokat egy hamis Windows Update felhasználói felület megjelenítésével, és elhiteti velük, hogy ez egy legitim szoftverfrissítési folyamat.

A Big Head egyik mintája három bináris fájlt telepített, amelyek olyan feladatokat hajtottak végre, mint a fájltitkosítás, a Telegram bot telepítése, a hamis Windows frissítési felhasználói felület megjelenítése és a váltságdíj-jegyzetek telepítése. A Telegram botért felelős végrehajtható fájl parancsokat fogadott el a fenyegetés szereplőjével való kommunikációhoz.

Egy másik példa adatlopási képességeket, böngészési előzmények, címtárlisták, futó folyamatok, illesztőprogramok és képernyőképek gyűjtését tartalmazta. A harmadik minta a Neshta-t, egy vírusterjesztő kártevőt tartalmazott, amely álcázza a Big Head ransomware végső rakományát, elterelve a figyelmet a zsarolóvírusok észlelésére összpontosító biztonsági megoldásokról.

Bár a Big Head mögött álló csoport továbbra is ismeretlen, a Trend Micro felfedezett egy YouTube-csatornát és egy Telegram-felhasználónevet, amely a fenyegetőzőhöz kapcsolódik. A rosszindulatú program akkor fejezi be magát, ha a rendszer nyelve megegyezik bizonyos országkódokkal, ami potenciális kapcsolatot sejtet a Független Államok Közösségéhez tartozó volt szovjet államokkal.

Miért használják a hackerek gyakran a táviratot?

A hackerek gyakran több okból is használják a Telegramot:

Anonimitás: A Telegram bizonyos szintű anonimitást biztosít a felhasználók számára. Lehetővé teszi a hackerek számára, hogy fiókokat hozzanak létre anélkül, hogy személyazonosításra alkalmas adatokra lenne szükségük, és lehetővé teszi számukra, hogy valódi személyazonosságuk felfedése nélkül kommunikáljanak.

Adatvédelem és titkosítás: A Telegram végpontok közötti titkosítást kínál, ami azt jelenti, hogy a felhasználók között váltott üzenetek védettek, és csak a kívánt címzettek tudják visszafejteni. Ez a titkosítás biztonságos kommunikációs csatornát biztosít a hackerek számára, hogy megvitassák és összehangolják tevékenységeiket anélkül, hogy félnének a lehallgatástól.

Csoportos csevegés és csatornák: A Telegram lehetővé teszi a felhasználók számára, hogy csoportos csevegéseket és nyilvános csatornákat hozzanak létre, megkönnyítve a hackerek számára az információk megosztását, az együttműködést, valamint a rosszindulatú eszközeik, technikáik és kihasználásaik széles közönség számára történő terjesztését. Ezek a funkciók lehetővé teszik a hackerek számára, hogy közösségeket alkossanak, megosszák tudásukat és összehangolják támadásaikat.

Fontos megjegyezni, hogy bár a hackerek kihasználhatják a Telegram adatvédelmi és biztonsági funkcióit rosszindulatú tevékenységeikhez, maga a platform önmagában nem rosszindulatú. A Telegram egy legitim üzenetküldő alkalmazás, amelyet emberek milliói használnak világszerte különféle célokra, beleértve a legitim kommunikációt és a fájlmegosztást.