Pesquisadores descobrem malware perigoso Big Head ainda em desenvolvimento

Os pesquisadores expressaram preocupação com uma nova variedade de ransomware chamada "Big Head", que tem o potencial de causar danos significativos quando se tornar totalmente operacional. Várias versões do Big Head foram analisadas, indicando sua natureza diversa e multifacetada, o que impõe desafios para futuros combates contra ele.

A Trend Micro informou que, embora não haja evidências de uso bem-sucedido do Big Head, seus desenvolvedores parecem ser agentes de ameaças experientes, mas não necessariamente sofisticados. As várias funcionalidades do malware, incluindo ladrões, infectadores e amostras de ransomware, são preocupantes e tornam os sistemas de defesa mais desafiadores, pois cada vetor de ataque requer atenção separada.

Os pesquisadores suspeitaram que as três amostras analisadas do Big Head foram distribuídas por meio de anúncios maliciosos disfarçados de atualizações falsas do Windows e instaladores do Word. O malware engana as vítimas exibindo uma interface de usuário falsa do Windows Update, fazendo-as acreditar que é um processo legítimo de atualização de software.

Uma amostra do Big Head implantou três binários que executavam tarefas como criptografia de arquivos, implantação de um bot do Telegram, exibição da falsa interface do usuário de atualização do Windows e instalação de notas de resgate. O executável responsável pelo bot do Telegram aceitou comandos para se comunicar com o agente da ameaça.

Outra amostra incluía recursos de roubo de dados, coleta de histórico de navegação, listas de diretórios, processos em execução, drivers e capturas de tela. A terceira amostra incorporou Neshta, um malware de distribuição de vírus que camufla a carga útil final do ransomware Big Head, desviando a atenção das soluções de segurança focadas na detecção de ransomware.

Embora o grupo por trás do Big Head permaneça desconhecido, a Trend Micro descobriu um canal do YouTube e um nome de usuário do Telegram associado ao agente da ameaça. O malware se encerra automaticamente se o idioma do sistema corresponder a determinados códigos de país, sugerindo uma possível conexão com os antigos estados soviéticos que agora fazem parte da Comunidade de Estados Independentes.

Por que os hackers costumam usar o Telegram?

Os hackers costumam usar o Telegram por vários motivos:

Anonimato: o Telegram fornece um nível de anonimato aos usuários. Ele permite que os hackers criem contas sem exigir informações de identificação pessoal e permite que eles se comuniquem sem revelar suas verdadeiras identidades.

Privacidade e criptografia: o Telegram oferece criptografia de ponta a ponta, o que significa que as mensagens trocadas entre os usuários são protegidas e só podem ser descriptografadas pelos destinatários pretendidos. Essa criptografia fornece um canal de comunicação seguro para os hackers discutirem e coordenarem suas atividades sem medo de interceptação.

Chats e canais em grupo: o Telegram permite que os usuários criem chats em grupo e canais públicos, tornando mais fácil para os hackers compartilhar informações, colaborar e disseminar suas ferramentas, técnicas e explorações maliciosas para um público amplo. Esses recursos permitem que os hackers formem comunidades, compartilhem conhecimento e coordenem seus ataques.

É importante observar que, embora os hackers possam explorar os recursos de privacidade e segurança do Telegram para suas atividades maliciosas, a plataforma em si não é inerentemente maliciosa. O Telegram é um aplicativo de mensagens legítimo usado por milhões de pessoas em todo o mundo para vários fins, incluindo comunicação legítima e compartilhamento de arquivos.