باج افزار BigHead
یک باج افزار در حال توسعه به نام Big Head به عنوان بخشی از یک کمپین Malvertising که به شکل به روز رسانی های جعلی مایکروسافت ویندوز و نصب کننده های برنامه Word است، در حال توزیع می باشد.
Malvertising تبلیغات آنلاینی که با هدف گسترش بدافزارها مورد استفاده قرار گرفته و از طریق شبکههای تبلیغاتی موجود در درون سایتهای معتبر گسترش مییابند.
باج افزار Big Head اولین بار توسط آزمایشگاه فورتی گارد در فورتی نت (Fortinet FortiGuard Labs ) ثبت شد. فورتی نت در زمان کشف و بررسی انواع مختلفی از باج افزار که برای رمزگذاری فایل ها در سیستم های قربانیان در ازای پرداخت ارز دیجیتال طراحی شده بودند، موفق به یافتن این باج افزار جدید شد.
محققان شرکت فورتینت در گزارش خود اشاره کردند که یک نوع باجافزار Big Head یک بهروزرسانی جعلی ویندوز را نمایش میدهد، که احتمالاً نشان دهنده این است که باجافزار بهعنوان یک بهروزرسانی جعلی ویندوز نیز توزیع شده است. یکی دیگر از انواع Big Head دارای نماد مایکروسافت ورد می باشد و احتمالاً به عنوان نرم افزار تقلبی توزیع شده است.
نمونه های زیادی از باج افزار Big Head تاکنون در ایالات متحده، اسپانیا، فرانسه و ترکیه گزارش شده اند.
در تجزیه و تحلیل جدیدی از باجافزار های تحت شبکه (NET-based ransomware) ، توانایی آنها برای استقرار سه باینری رمزگذاریشده مشخص شده است:
- .exe برای انتشار بدافزار
- archive.exe برای تسهیل ارتباطات از طریق تلگرام
- Xarch.exe. برای رمزگذاری فایل ها و نمایش به روز رسانی جعلی ویندوز.
همچنین در این گزارش آمده است که این بدافزار یک رابط کاربری جعلی به روز رسانی ویندوز را نمایش می دهد، بدین ترتیب کاربر قربانی با هدف به روز رسانی یک نرم افزار قانونی روی آن کلیک می کند و درصد گسترش آن در 100 ثانیه افزایش می یابد.
باج افزار Big Head هیچ تفاوتی با سایر خانوادههای باجافزار ندارد. زیرا نسخههای پشتیبان را حذف میکند، چندین فرآیند را خاتمه میدهد و قبل از رمزگذاری فایلها، قابلیت اجرایی آنها را در یک محیط مجازی بررسی می کند.
همچنین این بدافزار ، Task Manager را غیرفعال میکند تا از پایان یا بررسی فرآیند آن توسط کاربران جلوگیری کند و اگر زبان دستگاه با زبان روسی، بلاروسی، اوکراینی، قزاقستانی، قرقیزی، ارمنی، گرجی، تاتاری و ازبکی مطابقت داشته باشد، عملیات خود را متوقف میکند. همچنین دارای یک تابع حذف خودکار برای پاک کردن حضور خود در سیستم است.
یک نوع دیگری از بدافزار Big Head نیز با رفتارهای همزمان باجافزار و استیلر شناسایی شده است. بدین معنی که از WorldWind Stealer منبع باز برای جمعآوری تاریخچه مرورگر وب، لیست فهرست ها، فرآیندهای در حال اجرا، کلیدهای محصول و اطلاعات شبکه استفاده میکند.
نوع دیگری از Big Head کشف شد که حاوی یک آلوده کننده فایل به نام Neshta است که برای درج کدهای مخرب در فایل های اجرایی در میزبان آلوده استفاده می شود.
محققان میگویند: ادغام Neshta در استقرار باجافزار همچنین میتواند به عنوان یک تکنیک استتار برای بارگیری نهایی باجافزار Big Head عمل کند.
این تکنیک میتواند این بدافزار را بهعنوان نوع دیگری از تهدید نشان دهد مانند ویروس، که میتواند اولویتبندی راهحلهای امنیتی را که عمدتاً بر شناسایی باجافزار تمرکز دارند، منحرف کند.
- مزایای کلیدی شکار تهدید ( Threat Hunting)
- محصولات آنتی ویروس ارائه شده شرکت افراتک
هویت عامل تهدید پشت Big Head در حال حاضر مشخص نیست، اما یک کانال یوتیوب را با نام “aplikasi premium cuma cuma” شناسایی شده است که نشان می دهد که عامل مخرب احتمالاً اندونزیایی تبار است.
محققان نتیجه گرفتند: تیمهای امنیتی باید با توجه به عملکردهای متنوع بدافزار آماده باشند. ماهیت چند وجهی به بدافزار این پتانسیل را می دهد که پس از عملیاتی شدن کامل، آسیب قابل توجهی ایجاد کند و دفاع از سیستم ها در برابر آن را چالش برانگیزتر می کند، زیرا هر بردار حمله به توجه جداگانه ای نیاز دارد.