adlı gelişmekte olan bir fidye yazılımı parçası Koca kafa sahte Microsoft Windows güncellemeleri ve Word yükleyicileri biçimini alan bir kötü amaçlı reklam kampanyasının parçası olarak dağıtılıyor.
Big Head ilk olarak Fortinet FortiGuard Labs tarafından geçtiğimiz ay kripto para birimi ödemesi karşılığında kurbanların makinelerindeki dosyaları şifrelemek için tasarlanmış birden fazla fidye yazılımı çeşidi keşfettiğinde belgelendi.
Fortinet araştırmacıları o sırada “Bir Big Head fidye yazılımı varyantı, sahte bir Windows Güncellemesi gösteriyor ve potansiyel olarak fidye yazılımının aynı zamanda sahte bir Windows Güncellemesi olarak dağıtıldığını gösteriyor” dedi. “Varyantlardan birinde Microsoft Word simgesi var ve muhtemelen sahte yazılım olarak dağıtılmış.”
Big Head örneklerinin çoğu şu ana kadar ABD, İspanya, Fransa ve Türkiye’den gönderildi.
Trend Micro, .NET tabanlı fidye yazılımına ilişkin yeni bir analizde, iç işleyişini detaylandırarak üç şifrelenmiş ikili dosyayı dağıtma yeteneğini açıkladı: 1.exe, kötü amaçlı yazılımı yaymak için,archive.exe, Telegram üzerinden iletişimi kolaylaştırmak için ve Xarch.exe dosyaları şifrelemek ve” sahte bir Windows güncellemesi görüntülemek için.
Siber güvenlik şirketi, “Kötü amaçlı yazılım, kurbanı kötü niyetli etkinliğin 100 saniyelik artışlarla ilerleme yüzdesiyle meşru bir yazılım güncelleme işlemi olduğuna inandırmak için sahte bir Windows Update kullanıcı arayüzü görüntüler.” söz konusu.
Big Head, yedeklemeleri silmesi, birkaç işlemi sonlandırması ve dosyaları şifrelemeye devam etmeden önce sanallaştırılmış bir ortamda çalışıp çalışmadığını belirlemek için kontroller yapması bakımından diğer fidye yazılımı ailelerinden farklı değildir.
Ek olarak, kötü amaçlı yazılım, kullanıcıların sürecini sonlandırmasını veya araştırmasını önlemek için Görev Yöneticisi’ni devre dışı bırakır ve makinenin dili Rusça, Belarusça, Ukraynaca, Kazakça, Kırgızca, Ermenice, Gürcüce, Tatarca ve Özbekçe ile eşleşirse kendini durdurur. Ayrıca, varlığını silmek için kendi kendini silme işlevi içerir.
Trend Micro, hem fidye yazılımı hem de hırsız davranışlarına sahip ikinci bir Big Head eseri tespit ettiğini söyledi. DünyaRüzgar Hırsızı web tarayıcı geçmişini, dizin listelerini, çalışan işlemleri, ürün anahtarını ve ağları toplamak için.
🔐 PAM Güvenliği – Hassas Hesaplarınızı Güvenceye Almak İçin Uzman Çözümler
Uzmanlar tarafından yönetilen bu web semineri, sizi ayrıcalıklı erişim güvenliği stratejinizi dönüştürmek için ihtiyaç duyduğunuz bilgi ve stratejilerle donatacak.
Ayrıca, virüs bulaşmış ana bilgisayardaki yürütülebilir dosyalara kötü amaçlı kod eklemek için kullanılan Neshta adlı bir dosya bulaştırıcıyı içeren üçüncü bir Big Head varyantı da keşfedildi.
Trend Micro araştırmacıları, “Neshta’yı fidye yazılımı dağıtımına dahil etmek, nihai Big Head fidye yazılımı yükü için bir kamuflaj tekniği olarak da hizmet edebilir.” Dedi.
“Bu teknik, kötü amaçlı yazılımın virüs gibi farklı türde bir tehdit olarak görünmesini sağlayabilir ve bu da öncelikle fidye yazılımını tespit etmeye odaklanan güvenlik çözümlerinin öncelik sırasını değiştirebilir.”
Big Head’in arkasındaki tehdit aktörünün kimliği şu anda bilinmiyor, ancak Trend Micro, “aplikasi premium cuma cuma” adlı bir YouTube kanalı tespit ettiğini ve muhtemelen Endonezya kökenli bir saldırgan olduğunu öne sürdüğünü söyledi.
Araştırmacılar, “Kötü amaçlı yazılımın çeşitli işlevleri göz önüne alındığında güvenlik ekipleri hazırlıklı kalmalıdır.” “Bu çok yönlü yapı, kötü amaçlı yazılıma tamamen çalışır durumdayken ciddi zarar verme potansiyeli veriyor ve her saldırı vektörü ayrı dikkat gerektirdiğinden, sistemleri savunmayı daha zor hale getiriyor.”