Güvenlik araştırmacıları, sahte Windows güncellemelerini ve Microsoft Word yükleyicilerini teşvik eden kötüverizasyon yoluyla yayılabilecek 'Big Head' adlı yakın zamanda ortaya çıkan bir fidye yazılımı suşunu parçaladılar.
Enfeksiyon vektörüne ve kötü amaçlı yazılımın nasıl yürütüldüğüne bakan siber güvenlik şirketi Fortinet tarafından daha önce analiz edilmiştir.
Bugün Trend Micro, Big Head hakkında hem varyantların hem de üçüncüsünün örnekledikleri tek bir operatörden kaynaklandığını ve saldırılarını optimize etmek için farklı yaklaşımları deneyen tek bir operatörden kaynaklandığını iddia eden teknik bir rapor yayınladı.
'Big Head' Fidye Yazılımı, hedef sisteme üç AES ile şifrelenmiş dosya yükleyen bir .NET ikilidir: biri kötü amaçlı yazılımları yaymak için kullanılır, diğeri telgraf bot iletişimi ve üçüncü şifreleme dosyaları içindir ve kullanıcıya sahte gösterebilir Windows güncelleme.
Yürütme işleminde, fidye yazılımı bir kayıt defteri otomatik anahtarı oluşturma, gerekirse mevcut dosyaların üzerine yazma, sistem dosyası özniteliklerini ayarlama ve görev yöneticisini devre dışı bırakma gibi eylemler gerçekleştirir.
Her kurbana, %AppData %\ ID dizininden alınan veya rastgele 40 karakterlik bir dize kullanılarak oluşturulan benzersiz bir kimlik atanır.
Fidye yazılımı, hedeflenen dosyaları şifrelemeden ve dosya adlarına “.poop” uzantısını eklemeden önce kolay sistem restorasyonunu önlemek için gölge kopyalarını siler.
Ayrıca, Big Head, şifreleme işlemine kurcalamayı önlemek ve kötü amaçlı yazılımın kilitlenmesi gereken verileri serbest bırakmak için aşağıdaki işlemleri sonlandıracaktır.
Windows, geri dönüşüm kutusu, program dosyaları, sıcaklık, program verileri, Microsoft ve uygulama veri dizinleri, sistemi kullanılamaz hale getirmek için şifrelemeden atlanır.
Trend Micro, fidye yazılımlarının sanal bir kutu üzerinde çalışıp çalışmadığını, sistem dilini aradığını ve yalnızca Bağımsız Devletler Topluluğu (eski Sovyet devletleri) bir ülke üyesine ayarlanmadığı takdirde şifrelemeye devam ettiğini buldu.
Şifreleme sırasında fidye yazılımı, meşru bir Windows güncellemesi olduğunu iddia eden bir ekran görüntüler.
Şifreleme işlemi tamamlandıktan sonra, aşağıdaki fidye birden fazla dizinine bırakılır ve kurbanın duvar kağıdı da enfeksiyonun uyarısı olarak değiştirilir.
Trend Micro, fidye yazılımlarının standart versiyonuna kıyasla bazı önemli farklılıkları vurgulayarak iki büyük kafa varyantını analiz etti.
İkinci varyant, fidye yazılımı yeteneklerini korur, ancak aynı zamanda kurban sisteminden hassas verileri toplamak ve dışarı atmak için işlevlerle stealer davranışını da içerir.
Big Head'in bu sürümünün çalabileceği veriler arasında gezinme geçmişi, dizinler listesi, yüklü sürücüler, çalışma süreçleri, ürün anahtarı ve aktif ağlar ve ekran görüntülerini de yakalayabilir.
Trend Micro tarafından keşfedilen üçüncü varyant, ihlal edilen sistemdeki yürütülebilir ürünlere kötü amaçlı kod ekleyen “NESHTA” olarak tanımlanan bir dosya enfeksiyonuna sahiptir.
Bunun kesin amacı belirsiz olsa da, trend Micro’nun analistleri, imzaya dayalı mekanizmalara dayanan tespitten kaçınmanın olabileceğini düşünüyor.
Özellikle, bu varyant diğer ikisinden farklı bir fidye notu ve duvar kağıdı kullanır, ancak yine de aynı tehdit aktörüne bağlıdır.
Trend Micro, Big Head'in sofistike bir fidye yazılımı suşu olmadığını, şifreleme yöntemlerinin oldukça standart olduğunu ve kaçınma tekniklerinin tespit edilmesi kolay olduğunu söylüyor.
Bununla birlikte, kolay hilelerle kandırılabilecek tüketicilere odaklanıyor gibi görünüyor (örneğin sahte pencereler güncellemesi) veya siber güvenlik risklerinden uzaklaşmak için gerekli önlemleri anlamakta zorluk çekiyorlar.
Sirkülasyondaki çoklu varyantlar, Big Head'in yaratıcılarının, neyin en iyi olduğunu görmek için çeşitli yaklaşımları denemeyi deneyerek, kötü amaçlı yazılımları sürekli geliştirdiğini ve geliştirdiğini göstermektedir.
GÜNCELLEME 7/10/23 - Siber istihbarat firması Kela, Big Head'in ana yazarının muhtemelen Endonezya kökenli olduğunu gösteren BleepingComputer ile ek bilgi paylaştı.
Kela'nın analistleri, "IndoghostSec" de yayınlanan yayınlarda "fidye yazılımı uzmanı" olduğunu iddia eden Big Head'in fidye notunda bulunanlarla aynı isimleri ve avatarları kullanarak bir kullanıcı keşfettiler.
Kullanıcı grubun adını 'Big Head Hacker!' Haziran 2022'de 'Blackhat Hacker Endonezya'ya', Mart 2023'te bir fidye yazılımı inşaatçısı ve diğer ilgili araçlar yaratma çabalarında diğer üyelerin yardımını aramaya başladı.
Akira Ransomware hedefleri VMware ESXI sunucularının Linux sürümü
Windows kötü amaçlı yazılım yüklemek için kullanılır.
Info-Resting kötü amaçlı yazılım aracılığıyla çalınan 100.000'den fazla ChatGPT hesabı
Fidye yazılımı sadece daha hızlı hale geliyor: Daha güçlü bir savunmaya altı adım
Yeni Mystic Stealer kötü amaçlı yazılım saldırılarda giderek daha fazla kullanılan
Kaynak: Bleeping Computer