Onderzoekers ontdekken gevaarlijke Big Head-malware die nog in ontwikkeling is
Onderzoekers hebben hun bezorgdheid geuit over een nieuwe ransomware-stam genaamd "Big Head", die het potentieel heeft om aanzienlijke schade aan te richten zodra deze volledig operationeel wordt. Er zijn verschillende versies van Big Head geanalyseerd, wat wijst op de diverse en veelzijdige aard ervan, wat een uitdaging vormt voor toekomstige gevechten ertegen.
Trend Micro meldde dat, hoewel er geen bewijs is van een succesvol gebruik van Big Head, de ontwikkelaars ervan ervaren maar niet noodzakelijkerwijs geavanceerde bedreigingsactoren lijken te zijn. De verschillende functionaliteiten van de malware, waaronder stealers, infectors en ransomware-voorbeelden, zijn zorgwekkend en maken het verdedigen van systemen uitdagender, aangezien elke aanvalsvector aparte aandacht vereist.
De onderzoekers vermoedden dat de drie geanalyseerde voorbeelden van Big Head werden verspreid via kwaadaardige advertenties die zich voordeden als valse Windows-updates en Word-installatieprogramma's. De malware bedriegt de slachtoffers door een valse gebruikersinterface van Windows Update weer te geven, waardoor ze denken dat het om een legitiem software-updateproces gaat.
Een voorbeeld van Big Head implementeerde drie binaire bestanden die taken uitvoerden zoals bestandsversleuteling, het inzetten van een Telegram-bot, het weergeven van de valse Windows-update-gebruikersinterface en het installeren van losgeldnota's. Het uitvoerbare bestand dat verantwoordelijk is voor de Telegram-bot accepteerde opdrachten om te communiceren met de bedreigingsactor.
Een ander voorbeeld omvatte mogelijkheden voor het stelen van gegevens, het verzamelen van browsegeschiedenis, directorylijsten, lopende processen, stuurprogramma's en schermafbeeldingen. Het derde voorbeeld bevatte Neshta, een virusverspreidende malware die de uiteindelijke payload van de Big Head-ransomware camoufleert, waardoor de aandacht wordt afgeleid van beveiligingsoplossingen die gericht zijn op het detecteren van ransomware.
Hoewel de groep achter Big Head onbekend blijft, ontdekte Trend Micro een YouTube-kanaal en een Telegram-gebruikersnaam gekoppeld aan de bedreigingsactor. De malware beëindigt zichzelf als de systeemtaal overeenkomt met bepaalde landcodes, wat duidt op een mogelijke verbinding met de voormalige Sovjetstaten die nu deel uitmaken van het Gemenebest van Onafhankelijke Staten.
Waarom gebruiken hackers vaak Telegram?
Hackers gebruiken Telegram vaak om verschillende redenen:
Anonimiteit: Telegram biedt gebruikers een niveau van anonimiteit. Het stelt hackers in staat om accounts aan te maken zonder persoonlijk identificeerbare informatie nodig te hebben en stelt hen in staat te communiceren zonder hun ware identiteit prijs te geven.
Privacy en codering: Telegram biedt end-to-end-codering, wat betekent dat berichten die tussen gebruikers worden uitgewisseld, worden beschermd en alleen kunnen worden gedecodeerd door de beoogde ontvangers. Deze codering biedt hackers een veilig communicatiekanaal om hun activiteiten te bespreken en te coördineren zonder bang te hoeven zijn voor onderschepping.
Groepschats en -kanalen: Telegram stelt gebruikers in staat om groepschats en openbare kanalen te creëren, waardoor het voor hackers gemakkelijk wordt om informatie te delen, samen te werken en hun kwaadaardige tools, technieken en exploits te verspreiden onder een breed publiek. Deze functies stellen hackers in staat om gemeenschappen te vormen, kennis te delen en hun aanvallen te coördineren.
Het is belangrijk op te merken dat hoewel hackers de privacy- en beveiligingsfuncties van Telegram kunnen misbruiken voor hun kwaadaardige activiteiten, het platform zelf niet inherent kwaadaardig is. Telegram is een legitieme berichten-app die door miljoenen mensen over de hele wereld wordt gebruikt voor verschillende doeleinden, waaronder legitieme communicatie en het delen van bestanden.
