Контакты
Подписка 2024
ITSEC 2024
Персональные данные в 2025 году: новые требования и инструменты. 16 октября, Москва, Форум ITSEC 2024
Регистрируйтесь и приходите!

Исследователи изучили принцип действия вымогателя Big Head

13/07/23

zv839057ocu2katg9iq0rk6ulr3otuuo

Исследователи безопасности из ИБ-компании Trend Micro обнаружили, что разрабатываемая программа-вымогатель Big Head распространяется через вредоносную рекламу, которая маскируется под обновления Windows и установщики Word.

Big Head был впервые замечен исследователями из Fortinet FortiGuard Labs в июне , когда они обнаружили несколько вариантов этого вируса, шифрующих файлы на компьютерах жертв и вымогающих криптовалюту, передает Securitylab.

Один вариант программы-вымогателя Big Head отображает поддельное обновление Windows, а другой – имеет значок Microsoft Word и, вероятно, распространялся как поддельное ПО. Большинство образцов Big Head были доставлены из США, Испании, Франции и Турции.

В новом анализе вымогателя, основанного на .NET, компания Trend Micro рассказала о его внутренней структуре. Эксперты обратили внимание на способность «Big Head» развертывать три зашифрованных бинарных файла:

  • 1.exe – распространяет вредоносное ПО;
  • archive.exe – обеспечивает связь через Telegram;
  • Xarch.exe – шифрует файлы и выводит поддельное обновление Windows.

Вредоносное ПО выводит поддельный экран обновления Windows, чтобы обмануть пользователя и заставить его думать, что процесс обновления ПО абсолютно законен. При этом, процент выполнения обновления проходит с шагом в каждые 100 секунд.

«Big Head», как и другие программы-вымогатели, удаляет резервные копии, завершает работу нескольких процессов и проводит проверки, определяя, функционирует ли он в виртуализированной среде, прежде чем начать шифрование файлов.

Также вредоносное ПО отключает диспетчер задач, не давая пользователям прервать его работу или исследовать процессы. «Big Head» самоуничтожается, если язык системы соответствует русскому, белорусскому, украинскому, казахскому, киргизскому, армянскому, грузинскому, татарскому или узбекскому.

Второй артефакт «Big Head» сочетает в себе функции вымогателя и стилера, использующего инструмент с открытым исходным кодом WorldWind Stealer для сбора истории веб-браузера, списков каталогов, работающих процессов, ключей продуктов и сетевой информации.

Третий вариант «Big Head» интегрирован с файловым вирусом Neshta, вставляющим вредоносный код в исполняемые файлы на зараженном хосте. Такой подход может дать вредоносному ПО видимость другого типа угрозы, например, вируса, что может отвлечь внимание систем безопасности, в первую очередь ориентированных на обнаружение вымогателей.

На данный момент не известно, кто стоит за «Big Head», но Trend Micro обнаружила связанный с хакерами YouTube-канал с названием «aplikasi premium cuma Cuma», что намекает на вероятного злоумышленника из Индонезии.

3oh0e3ateasoud524z47o2afw9kibpro

Благодаря своей многофункциональности, «Big Head» имеет потенциал нанести значительный ущерб, когда станет полностью операционным. Это затрудняет защиту систем, так как каждый вектор атаки требует индивидуального подхода.

Big Head - это новый и опасный вид программы-вымогателя, которая может не только шифровать файлы, но и красть данные и заражать другие программы. Вирус распространяется через поддельные обновления Windows и установщики Word,. поэтому пользователи должны быть осторожны и не запускать подозрительные файлы, а также использовать надежные антивирусные решения для защиты своих систем.

Темы:MicrosoftУгрозыTrend MicroВымогателиFortinet
Безопасная разработка
Москва | 15 октября 2024 | Доверенные решения для защиты российских ОС на базе Linux и миграции
Регистрируйтесь и приходите на Форум ITSEC 2024
Статьи по темеСтатьи по теме

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
SOAR, IRP, SOC
Защита АСУ ТП и КИИ: готовимся к 2025 году
Обсуждаем на ITSEC 2024!

Еще темы...

More...