研究人员发现危险的大头恶意软件仍在开发中

研究人员对一种名为“Big Head”的新勒索软件菌株表示担忧，这种勒索软件一旦全面投入使用，可能会造成重大危害。对“大头”的多个版本进行了分析，表明其具有多样性和多面性，这给未来的对抗带来了挑战。

趋势科技报告称，虽然没有证据表明 Big Head 被成功使用，但其开发人员似乎经验丰富，但不一定是老练的威胁参与者。该恶意软件的各种功能（包括窃取程序、感染程序和勒索软件样本）令人担忧，并且使防御系统更具挑战性，因为每个攻击向量都需要单独关注。

研究人员怀疑，分析的三个 Big Head 样本是通过伪装成虚假 Windows 更新和 Word 安装程序的恶意广告分发的。该恶意软件通过显示虚假的 Windows 更新用户界面来欺骗受害者，使他们相信这是合法的软件更新过程。

Big Head 的一个示例部署了三个二进制文件，这些二进制文件执行文件加密、部署 Telegram 机器人、显示虚假 Windows 更新 UI 以及安装勒索信息等任务。负责 Telegram 机器人的可执行文件接受与威胁参与者进行通信的命令。

另一个示例包括数据窃取功能、收集浏览历史记录、目录列表、运行进程、驱动程序和屏幕截图。第三个样本包含 Neshta，这是一种传播病毒的恶意软件，它会伪装最终的 Big Head 勒索软件有效负载，从而转移人们对专注于检测勒索软件的安全解决方案的注意力。

尽管 Big Head 背后的组织仍然未知，但趋势科技发现了与威胁行为者相关的 YouTube 频道和 Telegram 用户名。如果系统语言与某些国家/地区代码匹配，该恶意软件就会自行终止，这表明该恶意软件与现属于独立国家联合体一部分的前苏联国家存在潜在联系。

为什么黑客经常使用 Telegram？

黑客经常使用 Telegram 有以下几个原因：

匿名：Telegram 为用户提供一定程度的匿名性。它允许黑客在不需要个人身份信息的情况下创建帐户，并使他们能够在不泄露真实身份的情况下进行通信。

隐私和加密：Telegram 提供端到端加密，这意味着用户之间交换的消息受到保护，并且只能由目标收件人解密。这种加密为黑客提供了一个安全的通信渠道来讨论和协调他们的活动，而不必担心被拦截。

群聊和频道：Telegram 允许用户创建群聊和公共频道，使黑客能够轻松共享信息、协作并向广大受众传播他们的恶意工具、技术和漏洞。这些功能使黑客能够形成社区、共享知识并协调他们的攻击。

值得注意的是，虽然黑客可能会利用 Telegram 的隐私和安全功能进行恶意活动，但该平台本身并不是恶意的。 Telegram 是一款合法的消息应用程序，全球数百万人出于各种目的使用它，包括合法通信和文件共享。