Big Head Ransomware

Les chercheurs en sécurité ont identifié une nouvelle souche émergente de ransomware appelée « Big Head » qui a suscité des inquiétudes en raison de son potentiel à infliger des dommages importants une fois pleinement opérationnel. Plusieurs versions distinctes de Big Head ont été analysées, révélant sa nature diverse et multiforme, qui pose des défis importants pour les futurs efforts d'atténuation.

Les développeurs derrière Big Head affichent un certain niveau d'expérience, même s'ils ne peuvent pas être considérés comme des acteurs de menaces hautement sophistiqués. Leur capacité à incorporer diverses fonctionnalités dans les logiciels malveillants, y compris les voleurs, les infecteurs et les échantillons de rançongiciels, est particulièrement alarmante. Cette approche à multiples facettes confère au logiciel malveillant la capacité de causer des dommages importants lorsqu'il atteint sa pleine capacité opérationnelle. Se défendre contre Big Head devient plus difficile en raison de la nécessité de traiter chaque vecteur d'attaque séparément.

Compte tenu de la nature complexe de Big Head et de son potentiel d'évolution, les experts en sécurité craignent les implications et l'impact qu'il pourrait avoir sur les systèmes ciblés. La conception multifonctionnelle du logiciel malveillant oblige les organisations et les professionnels de la sécurité à adopter une approche globale de la défense, en se concentrant sur plusieurs aspects et vulnérabilités simultanément.

Les attaquants utilisent de fausses publicités Microsoft comme leurres

Le Big Head Ransomware a été observé en train d'être distribué par le biais de publicités malveillantes, qui sont des publicités corrompues déguisées en fausses mises à jour Windows ou en installateurs Word.

Lors de l'infection, Big Head présente une interface utilisateur trompeuse qui imite un processus Windows Update légitime, incitant les victimes à croire que l'activité malveillante est une véritable mise à jour logicielle.

Dans un cas d'analyse Big Head, trois fichiers binaires ont été découverts, chacun remplissant des fonctions différentes sur le système ciblé. Ces fonctions comprenaient le cryptage des fichiers, le déploiement d'un bot Telegram qui interagissait avec l'identifiant du chatbot de l'auteur de la menace, l'affichage de la fausse interface utilisateur de mise à jour Windows et l'installation de notes de rançon sous forme de fichiers Lisez-moi et de papier peint.

L'exécutable responsable du bot Telegram, nommé teleratserver.exe, était un binaire 64 bits compilé en Python. Cet exécutable acceptait des commandes telles que « démarrer », « aide », « capture d'écran » et « message » pour établir la communication entre la victime et l'auteur de la menace à l'aide de l'application de messagerie.

Les versions de Big Head Ransomware avec des fonctionnalités étendues ont été découvertes

Dans un autre cas, un deuxième échantillon du Big Head Ransomware a démontré des capacités supplémentaires pour voler des données. Il incorporait le malware WorldWind Stealer, qui facilitait la collecte de divers types d'informations. Cela comprenait l'historique de navigation de tous les navigateurs Web disponibles, des listes de répertoires et de processus en cours d'exécution sur le système infecté, une réplique des pilotes et une capture d'écran de l'écran capturé après l'exécution du logiciel malveillant.

De plus, un troisième échantillon du Big Head Ransomware transportait Neshta , un malware conçu pour distribuer des virus en injectant du code malveillant dans des fichiers exécutables. Les chercheurs ont souligné que l'intégration de Neshta dans le déploiement du ransomware sert de technique de camouflage pour la charge utile finale du Big Head Ransomware. Ce faisant, le logiciel malveillant peut masquer sa véritable nature et apparaître comme un type de menace différent, tel qu'un virus. Cette tactique vise à détourner l'attention et à hiérarchiser les solutions de sécurité qui se concentrent principalement sur la détection des ransomwares.

L'inclusion de ces fonctionnalités supplémentaires et l'utilisation de techniques de camouflage démontrent l'évolution de la complexité et de la sophistication du Big Head Ransomware. En incorporant des capacités de vol de données et en exploitant d'autres composants malveillants, Big Head tente de recueillir des informations précieuses, de déguiser sa véritable intention et de contourner potentiellement les mesures de sécurité qui ciblent principalement les ransomwares.