I ricercatori scoprono un pericoloso malware Big Head ancora in fase di sviluppo

I ricercatori hanno espresso preoccupazione per un nuovo ceppo di ransomware chiamato "Big Head" che ha il potenziale per causare danni significativi una volta che diventa pienamente operativo. Sono state analizzate diverse versioni di Big Head, indicando la sua natura diversa e sfaccettata, che pone sfide per il futuro combattimento contro di essa.

Trend Micro ha riferito che, sebbene non vi siano prove di un uso riuscito di Big Head, i suoi sviluppatori sembrano essere attori esperti ma non necessariamente sofisticati. Le varie funzionalità del malware, inclusi stealer, infettatori ed esempi di ransomware, sono preoccupanti e rendono i sistemi di difesa più impegnativi, poiché ogni vettore di attacco richiede un'attenzione separata.

I ricercatori sospettavano che i tre campioni analizzati di Big Head fossero distribuiti tramite pubblicità dannose mascherate da falsi aggiornamenti di Windows e programmi di installazione di Word. Il malware inganna le vittime visualizzando una falsa interfaccia utente di Windows Update, facendo loro credere che si tratti di un processo di aggiornamento software legittimo.

Un campione di Big Head ha distribuito tre binari che eseguivano attività come la crittografia dei file, la distribuzione di un bot di Telegram, la visualizzazione della falsa interfaccia utente di Windows Update e l'installazione di note di riscatto. L'eseguibile responsabile del bot di Telegram ha accettato i comandi per comunicare con l'autore della minaccia.

Un altro campione includeva funzionalità di furto di dati, raccolta di cronologia di navigazione, elenchi di directory, processi in esecuzione, driver e schermate. Il terzo campione incorporava Neshta, un malware che distribuisce virus che camuffa il payload finale del ransomware Big Head, distogliendo l'attenzione dalle soluzioni di sicurezza incentrate sul rilevamento del ransomware.

Sebbene il gruppo dietro Big Head rimanga sconosciuto, Trend Micro ha scoperto un canale YouTube e un nome utente Telegram associato all'autore della minaccia. Il malware si autoblocca se la lingua del sistema corrisponde a determinati codici paese, suggerendo una potenziale connessione con gli ex stati sovietici ora parte della Comunità degli Stati Indipendenti.

Perché gli hacker usano spesso Telegram?

Gli hacker usano spesso Telegram per diversi motivi:

Anonimato: Telegram fornisce un livello di anonimato agli utenti. Consente agli hacker di creare account senza richiedere informazioni di identificazione personale e consente loro di comunicare senza rivelare la loro vera identità.

Privacy e crittografia: Telegram offre la crittografia end-to-end, il che significa che i messaggi scambiati tra utenti sono protetti e possono essere decrittografati solo dai destinatari previsti. Questa crittografia fornisce agli hacker un canale di comunicazione sicuro per discutere e coordinare le loro attività senza timore di intercettazioni.

Chat e canali di gruppo: Telegram consente agli utenti di creare chat di gruppo e canali pubblici, facilitando agli hacker la condivisione di informazioni, la collaborazione e la diffusione di strumenti, tecniche ed exploit dannosi a un vasto pubblico. Queste funzionalità consentono agli hacker di formare comunità, condividere conoscenze e coordinare i propri attacchi.

È importante notare che mentre gli hacker possono sfruttare le funzionalità di privacy e sicurezza di Telegram per le loro attività dannose, la piattaforma stessa non è intrinsecamente dannosa. Telegram è un'app di messaggistica legittima utilizzata da milioni di persone in tutto il mondo per vari scopi, tra cui comunicazioni legittime e condivisione di file.