Forskare upptäcker Dangerous Big Head Malware som fortfarande är under utveckling

Forskare har uttryckt oro över en ny ransomware-stam som kallas "Big Head" som har potential att orsaka betydande skada när den väl är fullt funktionsduglig. Flera versioner av Big Head har analyserats, vilket indikerar dess mångsidiga och mångfacetterade karaktär, vilket innebär utmaningar för framtida kamp mot det.

Trend Micro rapporterade att även om det inte finns några bevis för framgångsrik användning av Big Head, verkar dess utvecklare vara erfarna men inte nödvändigtvis sofistikerade hotaktörer. Skadlig programvaras olika funktioner, inklusive stjälare, infektörer och ransomware-prover, är oroande och gör att försvara system mer utmanande, eftersom varje attackvektor kräver separat uppmärksamhet.

Forskarna misstänkte att de tre analyserade proverna av Big Head distribuerades genom skadliga annonser som maskerade sig som falska Windows-uppdateringar och Word-installatörer. Skadlig programvara lurar offren genom att visa ett falskt Windows Update-användargränssnitt, vilket får dem att tro att det är en legitim programuppdateringsprocess.

Ett exempel på Big Head distribuerade tre binärer som utförde uppgifter som filkryptering, distribuering av en Telegram-bot, visning av det falska Windows-uppdateringsgränssnittet och installation av lösensedlar. Den körbara filen som ansvarar för Telegram-boten accepterade kommandon för att kommunicera med hotaktören.

Ett annat exempel inkluderade funktioner för datastöld, insamling av webbhistorik, kataloglistor, pågående processer, drivrutiner och skärmdumpar. Det tredje exemplet inkorporerade Neshta, en virusdistribuerande skadlig programvara som kamouflerar den slutliga Big Head ransomware-nyttolasten, och avleder uppmärksamheten från säkerhetslösningar fokuserade på att upptäcka ransomware.

Även om gruppen bakom Big Head fortfarande är okänd, upptäckte Trend Micro en YouTube-kanal och ett Telegram-användarnamn kopplat till hotaktören. Skadlig programvara upphör av sig själv om systemspråket matchar vissa landskoder, vilket tyder på en potentiell koppling till de tidigare sovjetstaterna som nu ingår i Samväldet av oberoende stater.

Varför använder hackare ofta Telegram?

Hackare använder ofta Telegram av flera anledningar:

Anonymitet: Telegram ger användarna en nivå av anonymitet. Det tillåter hackare att skapa konton utan att kräva personligt identifierbar information och gör det möjligt för dem att kommunicera utan att avslöja sin sanna identitet.

Sekretess och kryptering: Telegram erbjuder end-to-end-kryptering, vilket innebär att meddelanden som utbyts mellan användare är skyddade och endast kan dekrypteras av de avsedda mottagarna. Denna kryptering ger en säker kommunikationskanal för hackare att diskutera och samordna sina aktiviteter utan rädsla för avlyssning.

Gruppchatt och kanaler: Telegram tillåter användare att skapa gruppchatt och offentliga kanaler, vilket gör det enkelt för hackare att dela information, samarbeta och sprida sina skadliga verktyg, tekniker och utnyttjande till en bred publik. Dessa funktioner gör det möjligt för hackare att bilda gemenskaper, dela kunskap och koordinera sina attacker.

Det är viktigt att notera att även om hackare kan utnyttja integritets- och säkerhetsfunktionerna i Telegram för sina skadliga aktiviteter, är själva plattformen inte i sig skadlig. Telegram är en legitim meddelandeapp som används av miljontals människor över hela världen för olika ändamål, inklusive legitim kommunikation och fildelning.