Badacze odkrywają niebezpieczne, duże złośliwe oprogramowanie, które wciąż jest w fazie rozwoju

Badacze wyrazili zaniepokojenie nowym szczepem oprogramowania ransomware o nazwie „Big Head”, który może wyrządzić znaczne szkody, gdy stanie się w pełni operacyjny. Przeanalizowano kilka wersji Big Head, wskazując na jego różnorodny i wieloaspektowy charakter, co stanowi wyzwanie dla przyszłej walki z nim.

Firma Trend Micro poinformowała, że chociaż nie ma dowodów na skuteczne wykorzystanie Big Head, jej twórcy wydają się być doświadczonymi, ale niekoniecznie wyrafinowanymi cyberprzestępcami. Różne funkcje złośliwego oprogramowania, w tym programy wykradające, infekujące i próbki ransomware, są niepokojące i utrudniają obronę systemów, ponieważ każdy wektor ataku wymaga osobnej uwagi.

Badacze podejrzewali, że trzy przeanalizowane próbki Big Head były dystrybuowane za pośrednictwem złośliwych reklam podszywających się pod fałszywe aktualizacje systemu Windows i instalatory Worda. Złośliwe oprogramowanie oszukuje ofiary, wyświetlając fałszywy interfejs użytkownika usługi Windows Update, sprawiając, że są one przekonane, że jest to legalny proces aktualizacji oprogramowania.

Jedna próbka Big Head wdrożyła trzy pliki binarne, które wykonywały zadania, takie jak szyfrowanie plików, wdrażanie bota Telegram, wyświetlanie fałszywego interfejsu użytkownika aktualizacji systemu Windows i instalowanie żądań okupu. Plik wykonywalny odpowiedzialny za bota Telegram akceptował polecenia komunikowania się z aktorem odpowiedzialnym za zagrożenie.

Kolejna próbka obejmowała możliwości kradzieży danych, gromadzenia historii przeglądania, list katalogów, uruchomionych procesów, sterowników i zrzutów ekranu. Trzecia próbka zawierała Neshta, złośliwe oprogramowanie rozprzestrzeniające wirusy, które kamufluje ostatni ładunek oprogramowania ransomware Big Head, odwracając uwagę od rozwiązań bezpieczeństwa skoncentrowanych na wykrywaniu oprogramowania ransomware.

Chociaż grupa stojąca za Big Head pozostaje nieznana, firma Trend Micro odkryła kanał YouTube i nazwę użytkownika Telegrama powiązaną z ugrupowaniem cyberprzestępczym. Złośliwe oprogramowanie wyłącza się samoczynnie, jeśli język systemu pasuje do określonych kodów krajów, co sugeruje potencjalne powiązanie z byłymi państwami radzieckimi, które obecnie są częścią Wspólnoty Niepodległych Państw.

Dlaczego hakerzy często używają telegramu?

Hakerzy często używają Telegrama z kilku powodów:

Anonimowość: Telegram zapewnia użytkownikom pewien poziom anonimowości. Pozwala hakerom tworzyć konta bez konieczności podawania danych osobowych i umożliwia im komunikację bez ujawniania ich prawdziwej tożsamości.

Prywatność i szyfrowanie: Telegram oferuje kompleksowe szyfrowanie, co oznacza, że wiadomości wymieniane między użytkownikami są chronione i mogą być odszyfrowane tylko przez zamierzonych odbiorców. To szyfrowanie zapewnia bezpieczny kanał komunikacji dla hakerów, aby omawiać i koordynować swoje działania bez obawy o przechwycenie.

Czaty grupowe i kanały: Telegram umożliwia użytkownikom tworzenie czatów grupowych i kanałów publicznych, ułatwiając hakerom dzielenie się informacjami, współpracę i rozpowszechnianie złośliwych narzędzi, technik i exploitów wśród szerokiego grona odbiorców. Te funkcje umożliwiają hakerom tworzenie społeczności, dzielenie się wiedzą i koordynowanie ataków.

Należy zauważyć, że chociaż hakerzy mogą wykorzystywać funkcje prywatności i bezpieczeństwa Telegrama do swoich złośliwych działań, sama platforma nie jest z natury złośliwa. Telegram to legalna aplikacja do przesyłania wiadomości, używana przez miliony ludzi na całym świecie do różnych celów, w tym do legalnej komunikacji i udostępniania plików.