研究人員發現危險的大頭惡意軟件仍在開發中

研究人員對一種名為“Big Head”的新勒索軟件菌株表示擔憂，這種勒索軟件一旦全面投入使用，可能會造成重大危害。對“大頭”的多個版本進行了分析，表明其具有多樣性和多面性，這給未來的對抗帶來了挑戰。

趨勢科技報告稱，雖然沒有證據表明 Big Head 被成功使用，但其開發人員似乎經驗豐富，但不一定是老練的威脅參與者。該惡意軟件的各種功能（包括竊取程序、感染程序和勒索軟件樣本）令人擔憂，並且使防禦系統更具挑戰性，因為每個攻擊向量都需要單獨關注。

研究人員懷疑，分析的三個 Big Head 樣本是通過偽裝成虛假 Windows 更新和 Word 安裝程序的惡意廣告分發的。該惡意軟件通過顯示虛假的 Windows 更新用戶界面來欺騙受害者，使他們相信這是合法的軟件更新過程。

Big Head 的一個示例部署了三個二進製文件，這些二進製文件執行文件加密、部署 Telegram 機器人、顯示虛假 Windows 更新 UI 以及安裝勒索信息等任務。負責 Telegram 機器人的可執行文件接受與威脅參與者進行通信的命令。

另一個示例包括數據竊取功能、收集瀏覽歷史記錄、目錄列表、運行進程、驅動程序和屏幕截圖。第三個樣本包含 Neshta，這是一種傳播病毒的惡意軟件，它會偽裝最終的 Big Head 勒索軟件有效負載，從而轉移人們對專注於檢測勒索軟件的安全解決方案的注意力。

儘管 Big Head 背後的組織仍然未知，但趨勢科技發現了與威脅行為者相關的 YouTube 頻道和 Telegram 用戶名。如果系統語言與某些國家/地區代碼匹配，該惡意軟件就會自行終止，這表明該惡意軟件與現屬於獨立國家聯合體一部分的前蘇聯國家存在潛在聯繫。

為什麼黑客經常使用 Telegram？

黑客經常使用 Telegram 有以下幾個原因：

匿名：Telegram 為用戶提供一定程度的匿名性。它允許黑客在不需要個人身份信息的情況下創建帳戶，並使他們能夠在不洩露真實身份的情況下進行通信。

隱私和加密：Telegram 提供端到端加密，這意味著用戶之間交換的消息受到保護，並且只能由目標收件人解密。這種加密為黑客提供了一個安全的通信渠道來討論和協調他們的活動，而不必擔心被攔截。

群聊和頻道：Telegram 允許用戶創建群聊和公共頻道，使黑客能夠輕鬆共享信息、協作並向廣大受眾傳播他們的惡意工具、技術和漏洞。這些功能使黑客能夠形成社區、共享知識並協調他們的攻擊。

值得注意的是，雖然黑客可能會利用 Telegram 的隱私和安全功能進行惡意活動，但該平臺本身並不是惡意的。 Telegram 是一款合法的消息應用程序，全球數百萬人出於各種目的使用它，包括合法通信和文件共享。