Fortinet FortiGuard Labs tarafından geçen ay ilk kez belgelenen Big Head ransomware, kurbanların dosyalarını şifreleyerek bir kripto para ödemesi karşılığında fidye talep eden birçok varyanta sahip olduğu tespit edildi.
Fortinet araştırmacıları, “Big Head ransomware’ın bir varyantı sahte bir Windows Güncellemesi görüntüler, bu da ransomware’ın sahte bir Windows Güncellemesi olarak dağıtılmış olabileceğini gösteriyor,” dedi. “Varyantlardan biri Microsoft Word simgesine sahip ve muhtemelen sahte yazılım olarak dağıtıldı.”
Şu ana kadar gönderilen Big Head örneklerinin çoğu ABD, İspanya, Fransa ve Türkiye’den alındı.
.NET tabanlı ransomware olan Big Head’in yeni bir analizinde, Trend Micro iç işleyişini detaylandırarak, üç şifreli ikili dosya dağıtabilme özelliğini ortaya çıkardı: zararlı yazılımı yaymak için 1.exe, Telegram üzerinden iletişimi kolaylaştırmak için archive.exe ve dosyaları şifrelemek ve sahte bir Windows güncellemesi görüntülemek için Xarch.exe.
“Casus yazılım, kurbanı yanıltmak için sahte bir Windows Güncelleme kullanıcı arayüzü görüntüler ve kötü niyetli faaliyetin meşru bir yazılım güncelleme işlemi olduğuna inanmasını sağlar, ilerleme yüzdesi 100 saniyelik artışlarla gösterilir,” şeklinde açıklama yaptı siber güvenlik şirketi.
Big Head, diğer ransomware ailelerinden farklı olarak yedekleri siler, birkaç işlemi sonlandırır ve dosyaları şifrelemeye devam etmeden önce sanal ortamda çalışıp çalışmadığını kontrol etmek için kontrol mekanizmaları gerçekleştirir.
Ayrıca, zararlı yazılım, kullanıcıların süreci sonlandırmasını veya araştırmasını engellemek için Görev Yöneticisini devre dışı bırakır ve makinenin dili Rusça, Beyaz Rusça, Ukraynaca, Kazakça, Kırgızca, Ermenice, Gürcüce, Tatarca ve Özbekçe dillerine uyuyorsa kendini iptal eder. Ayrıca varlığını silmek için bir kendini silme işlevi de içerir.
Trend Micro, hem ransomware hem de hırsızlık işlevleri olan ikinci bir Big Head örneği tespit etti. Hırsızlık işlevi, açık kaynak WorldWind Stealer’ı kullanarak web tarayıcı geçmişi, dizin listeleri, çalışan işlemler, ürün anahtarları ve ağ bilgilerini toplamak için kullanılıyor.
Enfekte olan ana makinedeki yürütülebilir dosyalara kötü amaçlı kodu eklemek için kullanılan Neshta adlı bir dosya enfekte ediciyi içeren üçüncü bir Big Head varyantı da keşfedildi.
“Ransomware dağıtımına Neshta’yı dahil etmek, ransomware yükünü farklı bir tehdit türü gibi görünmesini sağlayabilir, böylece öncelikle ransomware tespiti üzerine odaklanan güvenlik çözümlerinin önceliklerini saptırabilir,” dedi Trend Micro araştırmacıları.
Big Head’in arkasındaki tehdit aktörünün kimliği şu anda bilinmemektedir, ancak Trend Micro, “aplikasi premium cuma cuma” adında bir YouTube kanalı tespit etti ve bu da muhtemelen Endonezya kökenli bir saldırgan olduğunu göstermektedir.
“Araştırmacılar, sistemlere karşı korunmada zorluklar yaratabilecek malware’ın çeşitli işlevleri göz önüne alındığında, güvenlik ekiplerinin hazırlıklı olmaya devam etmeleri gerektiğini” sonuçlandırdı. “Bu çok yönlü yapı, malware’ın tam olarak faal hale geldiğinde önemli zararlara neden olma potansiyeline sahiptir, çünkü her saldırı vektörü ayrı bir dikkat gerektirir.”