Kötü Amaçlı Reklamcılıkta ve Sahte Windows Güncellemelerinde Bulunan Big Head Fidye Yazılımı


Sahte Windows güncelleme kullanıcı arabirimi başlatıldığında, kurban bunun, ilerleme yüzdesinin 100 saniye olduğu meşru bir yazılım güncelleme işlemi olduğuna inanır.

Geçen ay, FortiGuard Labs araştırmacıları, Big Head fidye yazılımı adı verilen ve faaliyete geçtiğinde önemli zararlara neden olabilecek yeni bir tehdit keşfetti. Bu fidye yazılımının hala geliştirilme aşamasında olduğuna inanıyorlar.

Şimdi, Trend Micro araştırmacıları Ieriz Nicolle Gonzalez, Katherine Casona ve Sarah Pearl Camiling, 7 Temmuz 2023’te yayınlanan son raporlarında, şu anda geliştirme aşamasında olan bu fidye yazılımının iç işleyişini açıkladılar.

Araştırmacılar bu .NET tabanlı fidye yazılımına “Koca Kafa” adını verdiler. Değerlendirmelerine göre, şu ana kadar Big Head’in başarılı bir şekilde konuşlandırıldığına dair bir kanıt yok ve geliştiricileri deneyimli olabilir ancak karmaşık tehdit aktörleri olmayabilir.

Şimdiye kadar Big Head Ransomware’in çeşitli sürümleri tespit edildi ve bu da siber güvenlik topluluğu arasında endişelere yol açtı. Fidye yazılımı örneklerinin çoğunun ABD, Fransa, İspanya ve Türkiye’de keşfedildiğini belirtmekte fayda var.

Trend Micro araştırması için üç örneği inceledi ve Big Head’in bir kötü amaçlı reklam kampanyasında ve sahte Microsoft Windows güncellemeleri ve MS Word yükleyicileri olarak dağıtıldığını ortaya çıkardı.

Kötü Amaçlı Reklamcılıkta ve Sahte Windows Güncellemelerinde Bulunan Big Head Fidye Yazılımı
Sahte Windows güncelleme uyarısı görüntülemekten sorumlu kod (Resim: Trend Micro)

Big Head Ransomware, üç şifrelenmiş ikili dosyayı dağıtabilir.

  • Kötü amaçlı yazılım yayıcısı- 1.exe
  • Telegram-archive.exe ile iletişim kolaylaştırıcı
  • Dosya şifreleme/sahte Windows güncelleme başlatıcısı – Xarch.exe

Big Head fidye yazılımının bir çeşidi sahte bir Windows güncellemesi başlattı, bu da bu fidye yazılımının sahte yazılım olarak dağıtıldığı anlamına geliyor. Sahte Windows güncelleme kullanıcı arabirimi başlatıldığında, kurban bunun, ilerleme yüzdesinin 100 saniye olduğu meşru bir yazılım güncelleme işlemi olduğuna inanır.

Öte yandan, Telegram bot yürütülebilir dosyası (teleratserver.exe), uygulama aracılığıyla kurban ile saldırgan arasında iletişim kurmak için Yardım, Başlat, Mesaj ve Ekran Görüntüsü gibi komutları kabul eden 64 bitlik Python derlenmiş bir ikili dosyadır.

Dağıtılan örneklerden biri WorldWind Stealer kötü amaçlı yazılımı ve yüklü tüm tarayıcılardan tarama geçmişi, bir dizin listesi ve çalışan işlemlerin ayrıntıları gibi çok çeşitli veriler topladı.

Üçüncü örnek, yürütülebilir dosyalara kötü amaçlı kod ekleyebilen kötü amaçlı yazılım dağıtan Neshta virüsünü konuşlandırdı.

“Neshta’yı fidye yazılımı dağıtımına dahil etmek, Big Head fidye yazılımının nihai yükü için bir kamuflaj tekniği olarak da hizmet edebilir. Bu teknik, kötü amaçlı yazılımın virüs gibi farklı türde bir tehdit olarak görünmesini sağlayabilir ve bu da, öncelikle fidye yazılımlarını tespit etmeye odaklanan güvenlik çözümlerinin öncelik sırasını saptırabilir,” diye yazdı araştırmacılar teknik bir blog gönderisinde.

Kötü Amaçlı Reklamcılıkta ve Sahte Windows Güncellemelerinde Bulunan Big Head Fidye Yazılımı
Fidye yazılımı şifreleme penceresi ve fidye notu (Resim: Trend Micro)

Diğer fidye yazılımları gibi, Big Head Ransomware de dosyaları şifrelemeden önce sanal ortamda çalışıp çalışmadığını belirlemek için yedeklemeleri silebilir, işlemleri sonlandırabilir ve sistem kontrolleri yapabilir.

Ayrıca, cihaz dili Rusça, Ukraynaca, Belarusça, Kırgızca, Kazakça, Ermenice, Tatarca, Gürcüce veya Özbekçe olarak algılanırsa kurbanın kötü niyetli faaliyetlerini ve kendi kendini iptal etmesini sonlandıramaması veya araştıramaması için Görev Yöneticisini devre dışı bırakır. Ayrıca izlerini silmek için kendi kendini silme işlevine sahiptir.

Bu fidye yazılımı, hırsızlar, bulaşıcılar ve fidye yazılımı örnekleri dahil olmak üzere çeşitli işlevlere sahiptir. Bu, keşfin en rahatsız edici kısmı. Şifrelemeyi gerçekleştirdikten sonra, saldırganlar şifre çözme için kripto para biriminde ödeme ister.

Bu kampanyanın arkasındaki tehdit aktörünün kimliği hâlâ belirlenemedi ancak Trend Micro araştırmacıları, kampanyaya karışan bir YouTube kanalı ve Telegram kullanıcı adı tespit etti. Kanalın adı “aplikasi premium cuma cuma” (çeviri: ücretsiz premium uygulama), fidye yazılımı operatörünün bir Endonezyalı olabileceğini gösteriyor.

  1. Kötü Amaçlı Yazılım Sunan Sahte Windows 11 Güncellemesine Dikkat Edin
  2. Sahte COVID-19 Takip Uygulaması Punisher Fidye Yazılımını Yayıyor
  3. Yeni fidye yazılımı dosyaları kilitler ve kurbanlardan PUBG oyunu oynamalarını ister
  4. Sahte web sitesi, Windows 11 yükseltmesi olarak Redline kötü amaçlı yazılımını düşürdü
  5. Bu Fidye Yazılımı, kullanıcılara bir Japon oyunu oynamalarını söyler – Hepsi bu





Source link