Forskere oppdager farlig Big Head Malware som fortsatt er under utvikling

Forskere har uttrykt bekymring for en ny ransomware-stamme kalt "Big Head" som har potensial til å forårsake betydelig skade når den blir fullt operativ. Flere versjoner av Big Head har blitt analysert, noe som indikerer dens mangfoldige og mangefasetterte natur, noe som utgjør utfordringer for fremtidig kamp mot det.

Trend Micro rapporterte at selv om det ikke er bevis for vellykket bruk av Big Head, ser utviklerne ut til å være erfarne, men ikke nødvendigvis sofistikerte trusselaktører. Skadevarens ulike funksjonaliteter, inkludert stjelere, infektorer og løsepengevareprøver, er bekymringsfulle og gjør forsvar av systemer mer utfordrende, ettersom hver angrepsvektor krever separat oppmerksomhet.

Forskerne mistenkte at de tre analyserte prøvene av Big Head ble distribuert gjennom ondsinnede reklamer som ble maskert som falske Windows-oppdateringer og Word-installasjonsprogrammer. Skadevaren bedrar ofrene ved å vise et falskt Windows Update-brukergrensesnitt, noe som får dem til å tro at det er en legitim programvareoppdateringsprosess.

Ett utvalg av Big Head distribuerte tre binærfiler som utførte oppgaver som filkryptering, distribusjon av en Telegram-bot, visning av det falske Windows-oppdateringsgrensesnittet og installasjon av løsepenger. Den kjørbare ansvarlige for Telegram-boten godtok kommandoer for å kommunisere med trusselaktøren.

Et annet eksempel inkluderte evner til å stjele data, samle nettleserhistorikk, kataloglister, kjørende prosesser, drivere og skjermbilder. Den tredje prøven inkorporerte Neshta, en virusdistribuerende skadelig programvare som kamuflerer den endelige Big Head løsepengevare-nyttelasten, og avlede oppmerksomheten fra sikkerhetsløsninger fokusert på å oppdage løsepengevare.

Selv om gruppen bak Big Head fortsatt er ukjent, oppdaget Trend Micro en YouTube-kanal og et Telegram-brukernavn knyttet til trusselaktøren. Skadevaren avsluttes av seg selv hvis systemspråket samsvarer med visse landskoder, noe som antyder en potensiell forbindelse til de tidligere sovjetstatene som nå er en del av Samveldet av uavhengige stater.

Hvorfor bruker hackere ofte Telegram?

Hackere bruker ofte Telegram av flere grunner:

Anonymitet: Telegram gir et nivå av anonymitet til brukere. Det lar hackere opprette kontoer uten å kreve personlig identifiserbar informasjon og lar dem kommunisere uten å avsløre sin sanne identitet.

Personvern og kryptering: Telegram tilbyr ende-til-ende-kryptering, som betyr at meldinger som utveksles mellom brukere er beskyttet og kun kan dekrypteres av de tiltenkte mottakerne. Denne krypteringen gir en sikker kommunikasjonskanal for hackere å diskutere og koordinere sine aktiviteter uten frykt for avlytting.

Gruppechatter og kanaler: Telegram lar brukere opprette gruppechatter og offentlige kanaler, noe som gjør det enkelt for hackere å dele informasjon, samarbeide og spre ondsinnede verktøy, teknikker og utnyttelser til et bredt publikum. Disse funksjonene gjør det mulig for hackere å danne fellesskap, dele kunnskap og koordinere angrepene sine.

Det er viktig å merke seg at selv om hackere kan utnytte personvern- og sikkerhetsfunksjonene til Telegram for sine ondsinnede aktiviteter, er ikke plattformen i seg selv skadelig. Telegram er en legitim meldingsapp som brukes av millioner av mennesker over hele verden til ulike formål, inkludert legitim kommunikasjon og fildeling.