研究者が開発中の危険なビッグヘッド マルウェアを発見

研究者らは、「Big Head」と呼ばれる新しいランサムウェア株について懸念を表明しており、完全に稼働すると重大な被害を引き起こす可能性がある。ビッグヘッドのいくつかのバージョンが分析されており、その多様性と多面性が示されており、それが将来のビッグヘッドとの戦いに課題をもたらしています。

トレンドマイクロは、Big Head の使用が成功したという証拠はないものの、その開発者は経験豊富であるものの、必ずしも洗練された攻撃者ではないように見えると報告しました。スティーラー、感染者、ランサムウェア サンプルを含むこのマルウェアのさまざまな機能は憂慮すべきものであり、各攻撃ベクトルに個別の注意が必要となるため、システムの防御がより困難になります。

研究者らは、分析された Big Head の 3 つのサンプルが、偽の Windows アップデートや Word インストーラーを装った悪意のある広告を通じて配布されたのではないかと疑っていました。このマルウェアは、偽の Windows Update ユーザー インターフェイスを表示して被害者を欺き、それが正規のソフトウェア アップデート プロセスであると信じ込ませます。

Big Head のサンプルの 1 つは、ファイル暗号化、Telegram ボットの展開、偽の Windows 更新 UI の表示、身代金メモのインストールなどのタスクを実行する 3 つのバイナリを展開しました。 Telegram ボットを担当する実行可能ファイルは、脅威アクターと通信するためのコマンドを受け入れました。

別のサンプルには、データ窃取機能、閲覧履歴、ディレクトリ リスト、実行中のプロセス、ドライバー、スクリーンショットの収集機能が含まれていました。 3 番目のサンプルには、最終的な Big Head ランサムウェア ペイロードを偽装するウイルスを配布するマルウェアである Neshta が組み込まれており、ランサムウェアの検出に重点を置いたセキュリティ ソリューションから注意をそらしていました。

Big Head の背後にあるグループは依然として不明ですが、トレンドマイクロは、脅威アクターに関連する YouTube チャンネルと Telegram ユーザー名を発見しました。このマルウェアは、システム言語が特定の国コードと一致すると自動的に終了します。これは、現在独立国家共同体の一部となっている旧ソ連諸国との潜在的な関係を示唆しています。

なぜハッカーはテレグラムをよく使うのでしょうか?

ハッカーは、次のような理由で Telegram をよく使用します。

匿名性: Telegram はユーザーに一定レベルの匿名性を提供します。これにより、ハッカーは個人を特定できる情報を必要とせずにアカウントを作成でき、本当の身元を明かさずに通信できるようになります。

プライバシーと暗号化: Telegram はエンドツーエンドの暗号化を提供します。つまり、ユーザー間で交換されるメッセージは保護され、意図された受信者のみが復号化できます。この暗号化は、ハッカーが傍受を恐れることなく活動について話し合い、調整できる安全な通信チャネルを提供します。

グループ チャットとチャネル: Telegram を使用すると、ユーザーはグループ チャットとパブリック チャネルを作成できるため、ハッカーが情報を共有し、共同作業を行って、悪意のあるツール、テクニック、エクスプロイトを幅広い聴衆に広めることが容易になります。これらの機能により、ハッカーはコミュニティを形成し、知識を共有し、攻撃を調整することができます。

ハッカーは悪意のある活動のために Telegram のプライバシーとセキュリティ機能を悪用する可能性がありますが、プラットフォーム自体は本質的に悪意がないことに注意することが重要です。 Telegram は、合法的なコミュニケーションやファイル共有など、さまざまな目的で世界中の何百万人もの人々に使用されている合法的なメッセージング アプリです。