یک باج افزار در حال توسعه به نام Big Head به عنوان بخشی از یک کمپین Malvertising که به شکل به روز رسانی های جعلی مایکروسافت ویندوز  و نصب کننده های برنامه Word است، در حال توزیع می باشد.

Malvertising تبلیغات آنلاینی که با هدف گسترش بدافزارها مورد استفاده قرار گرفته و از طریق شبکه‌های تبلیغاتی موجود در درون سایت‌های معتبر گسترش می‌یابند.

باج افزار Big Head اولین بار توسط آزمایشگاه فورتی گارد در فورتی نت (Fortinet FortiGuard Labs ) ثبت شد. فورتی نت در زمان کشف و بررسی انواع مختلفی از باج افزار که برای رمزگذاری فایل ها در سیستم های قربانیان در ازای پرداخت ارز دیجیتال طراحی شده بودند، موفق به یافتن این باج افزار جدید شد.

محققان شرکت فورتینت در گزارش خود اشاره کردند که یک نوع باج‌افزار Big Head یک به‌روزرسانی جعلی ویندوز را نمایش می‌دهد، که احتمالاً نشان دهنده این است که باج‌افزار به‌عنوان یک به‌روزرسانی جعلی ویندوز نیز توزیع شده است. یکی دیگر از انواع Big Head دارای نماد مایکروسافت ورد می باشد و احتمالاً به عنوان نرم افزار تقلبی توزیع شده است.

نمونه های زیادی از باج افزار Big Head تاکنون در ایالات متحده، اسپانیا، فرانسه و ترکیه گزارش شده اند.

در تجزیه و تحلیل جدیدی از باج‌افزار های تحت شبکه (NET-based ransomware) ، توانایی آنها برای استقرار سه باینری رمزگذاری‌شده مشخص شده است:

• .exe برای انتشار بدافزار
• archive.exe برای تسهیل ارتباطات از طریق تلگرام
• Xarch.exe. برای رمزگذاری فایل ها و نمایش به روز رسانی جعلی ویندوز.

همچنین در این گزارش آمده است که این بدافزار یک رابط کاربری جعلی به روز رسانی ویندوز را نمایش می دهد، بدین ترتیب کاربر قربانی با هدف به روز رسانی یک نرم افزار قانونی روی آن کلیک می کند و درصد گسترش آن در 100 ثانیه افزایش می یابد.

باج افزار Big Head هیچ تفاوتی با سایر خانواده‌های باج‌افزار ندارد. زیرا نسخه‌های پشتیبان را حذف می‌کند، چندین فرآیند را خاتمه می‌دهد و قبل از رمزگذاری فایل‌ها، قابلیت اجرایی آنها را در یک محیط مجازی بررسی می کند.

• فورتی پروکسی FortiProxy چیست ؟
• بدافزار سرقت اطلاعات مخفی جدید به نام Bandit Stealer

همچنین این بدافزار ، Task Manager را غیرفعال می‌کند تا از پایان یا بررسی فرآیند آن توسط کاربران جلوگیری کند و اگر زبان دستگاه با زبان روسی، بلاروسی، اوکراینی، قزاقستانی، قرقیزی، ارمنی، گرجی، تاتاری و ازبکی مطابقت داشته باشد، عملیات خود را متوقف می‌کند. همچنین دارای یک تابع حذف خودکار برای پاک کردن حضور خود در سیستم است.

یک نوع دیگری از بدافزار Big Head نیز با رفتارهای همزمان باج‌افزار و استیلر شناسایی شده است. بدین معنی که از WorldWind Stealer منبع باز برای جمع‌آوری تاریخچه مرورگر وب، لیست فهرست ها، فرآیندهای در حال اجرا، کلیدهای محصول و اطلاعات شبکه استفاده می‌کند.

نوع دیگری از Big Head کشف شد که حاوی یک آلوده کننده فایل به نام Neshta است که برای درج کدهای مخرب در فایل های اجرایی در میزبان آلوده استفاده می شود.

محققان می‌گویند: ادغام Neshta در استقرار باج‌افزار همچنین می‌تواند به عنوان یک تکنیک استتار برای بارگیری نهایی باج‌افزار Big Head عمل کند.

این تکنیک می‌تواند این بدافزار را به‌عنوان نوع دیگری از تهدید نشان دهد مانند ویروس، که می‌تواند اولویت‌بندی راه‌حل‌های امنیتی را که عمدتاً بر شناسایی باج‌افزار تمرکز دارند، منحرف کند.

• مزایای کلیدی شکار تهدید ( Threat Hunting)
• محصولات آنتی ویروس ارائه شده شرکت افراتک

هویت عامل تهدید پشت Big Head در حال حاضر مشخص نیست، اما یک کانال یوتیوب را با نام “aplikasi premium cuma cuma” شناسایی شده است که نشان می دهد که عامل مخرب احتمالاً اندونزیایی تبار است.

محققان نتیجه گرفتند: تیم‌های امنیتی باید با توجه به عملکردهای متنوع بدافزار آماده باشند. ماهیت چند وجهی به بدافزار این پتانسیل را می دهد که پس از عملیاتی شدن کامل، آسیب قابل توجهی ایجاد کند و دفاع از سیستم ها در برابر آن را چالش برانگیزتر می کند، زیرا هر بردار حمله به توجه جداگانه ای نیاز دارد.