Скрытый замок киберпиратов: раскрываем секреты вымогателя Big Head

Исследователи безопасности из ИБ-компании Trend Micro обнаружили , что разрабатываемая программа-вымогатель Big Head распространяется через вредоносную рекламу, которая маскируется под обновления Windows и установщики Word.

Big Head был впервые замечен исследователями из Fortinet FortiGuard Labs в июне , когда они обнаружили несколько вариантов этого вируса, шифрующих файлы на компьютерах жертв и вымогающих криптовалюту.

Один вариант программы-вымогателя Big Head отображает поддельное обновление Windows, а другой – имеет значок Microsoft Word и, вероятно, распространялся как поддельное ПО. Большинство образцов Big Head были доставлены из США, Испании, Франции и Турции.

В новом анализе вымогателя, основанного на .NET, компания Trend Micro рассказала о его внутренней структуре. Эксперты обратили внимание на способность «Big Head» развертывать три зашифрованных бинарных файла:

• 1.exe – распространяет вредоносное ПО;
• archive.exe – обеспечивает связь через Telegram;
• Xarch.exe – шифрует файлы и выводит поддельное обновление Windows.

3 бинарных файла Big Head

Вредоносное ПО выводит поддельный экран обновления Windows, чтобы обмануть пользователя и заставить его думать, что процесс обновления ПО абсолютно законен. При этом, процент выполнения обновления проходит с шагом в каждые 100 секунд.

Цепочка заражения Big Head

«Big Head», как и другие программы-вымогатели, удаляет резервные копии, завершает работу нескольких процессов и проводит проверки, определяя, функционирует ли он в виртуализированной среде, прежде чем начать шифрование файлов.

Также вредоносное ПО отключает диспетчер задач, не давая пользователям прервать его работу или исследовать процессы. «Big Head» самоуничтожается, если язык системы соответствует русскому, белорусскому, украинскому, казахскому, киргизскому, армянскому, грузинскому, татарскому или узбекскому.

Второй артефакт «Big Head» сочетает в себе функции вымогателя и стилера, использующего инструмент с открытым исходным кодом WorldWind Stealer для сбора истории веб-браузера, списков каталогов, работающих процессов, ключей продуктов и сетевой информации.

Третий вариант «Big Head» интегрирован с файловым вирусом Neshta, вставляющим вредоносный код в исполняемые файлы на зараженном хосте. Такой подход может дать вредоносному ПО видимость другого типа угрозы, например, вируса, что может отвлечь внимание систем безопасности, в первую очередь ориентированных на обнаружение вымогателей.

Обои, которые появляются на машине жертвы после заражения

На данный момент не известно, кто стоит за «Big Head», но Trend Micro обнаружила связанный с хакерами YouTube-канал с названием «aplikasi premium cuma Cuma», что намекает на вероятного злоумышленника из Индонезии.

Обнаруженный YouTube-канал хакеров

Благодаря своей многофункциональности, «Big Head» имеет потенциал нанести значительный ущерб, когда станет полностью операционным. Это затрудняет защиту систем, так как каждый вектор атаки требует индивидуального подхода.

Big Head - это новый и опасный вид программы-вымогателя, которая может не только шифровать файлы, но и красть данные и заражать другие программы. Вирус распространяется через поддельные обновления Windows и установщики Word,. поэтому пользователи должны быть осторожны и не запускать подозрительные файлы, а также использовать надежные антивирусные решения для защиты своих систем.