Novo ransomware 'Big Head' exibe um falso alerta de atualização do Windows
10 de Julho de 2023

Pesquisadores de segurança analisaram uma cepa de ransomware recentemente surgida chamada 'Big Head' que pode estar se espalhando por meio de malvertising que promovem atualizações falsas do Windows e instaladores do Microsoft Word.

Duas amostras do malware foram analisadas anteriormente pela empresa de cibersegurança Fortinet, que examinou o vetor de infecção e como o malware é executado.

Hoje, a Trend Micro publicou um relatório técnico sobre o Big Head, afirmando que ambas as variantes e uma terceira que eles analisaram vêm de um único operador que provavelmente está experimentando diferentes abordagens para otimizar seus ataques.

O ransomware 'Big Head' é um binário .NET que instala três arquivos criptografados com AES no sistema alvo: um é usado para propagar o malware, outro é para comunicação com bot do Telegram, e o terceiro criptografa arquivos e também pode mostrar ao usuário uma falsa atualização do Windows.

Na execução, o ransomware também executa ações como criar uma chave autorun no registro, sobrescrever arquivos existentes se necessário, definir atributos de arquivo do sistema e desabilitar o Gerenciador de Tarefas.

Cada vítima recebe um ID único que é recuperado do diretório %appdata%\ID ou gerado usando uma string aleatória de 40 caracteres.

O ransomware apaga cópias sombra para impedir a fácil restauração do sistema antes de criptografar os arquivos alvo e adicionar uma extensão ".poop" aos seus nomes de arquivos.

Além disso, Big Head irá encerrar os processos a seguir para impedir interferências no processo de criptografia e liberar dados que o malware deve bloquear.

Os diretórios Windows, Lixeira, Arquivos de Programas, Temporários, Dados do Programa, Microsoft e Dados dos Aplicativos são ignorados durante a criptografia para evitar deixar o sistema inutilizável.

A Trend Micro descobriu que o ransomware verifica se ele está rodando numa máquina virtual, procura pelo idioma do sistema, prosseguindo com a codificação apenas quando este não corresponde ao idioma oficial dos países da Comunidade dos Estados Independentes (antigos estados soviéticos).

Durante a codificação,o software exibe na tela como se fosse uma atualização legítima da janela da Microsoft.

Depois da finalização da codificação,o resgate é "dropado" em múltiplos diretórios,e também usa-se metodos mais visuais, como mudança na imagem de fundo pra aumentar alerta.

A Trend Micro também analisou duas novas variações Big Head destacando algumas diferenças em relação à versão padrão logo incluiendo nesta versão novos comportamentos, tal como roubo de informações desejadas,e consegue capturar telas.

A terceira versão (descoberta pela Trend Micro), utiliza vírus identificado como "Neshta", que serve pra inserir linhas adicionais basicamente modificando executáveis no sistema invadido, apesar disto, não se sabe ainda pra quê isto é utilizado especula-se e evitaria detecção automática pois tornariam estes indistinguíveis dos programas originais.

Curiosamente essa versão utiliza nota diferente das outras duas porém continua relacionada pelo mesmo grupo de hackers.

Comentou-se por fim que este não apresenta sofisticação sendo constituído pelos mesmos métodos padronizados,e sua defesa contra esse tipo específico também acaba sendo mais fácil.

Publicidade

Não compre curso de Pentest

Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...