Güvenlik araştırmacıları, sahte Windows güncellemelerini ve Microsoft Word yükleyicilerini teşvik eden kötü amaçlı reklam yoluyla yayılıyor olabilecek ‘Big Head’ adlı yakın zamanda ortaya çıkan bir fidye yazılımı türünü incelediler.
Kötü amaçlı yazılımın iki örneği, bulaşma vektörüne ve kötü amaçlı yazılımın nasıl yürütüldüğüne bakan siber güvenlik şirketi Fortinet tarafından daha önce analiz edilmişti.
Bugün Trend Micro, Big Head hakkında teknik bir rapor yayınladı ve her iki varyantın ve örnekledikleri üçüncü bir varyantın, saldırılarını optimize etmek için muhtemelen farklı yaklaşımlar deneyen tek bir operatörden geldiğini iddia etti.
Sahte bir Windows güncellemesi
‘Big Head’ fidye yazılımı, hedef sisteme üç AES şifreli dosya yükleyen bir .NET ikili dosyasıdır: biri kötü amaçlı yazılımı yaymak için kullanılır, diğeri Telegram bot iletişimi içindir ve üçüncüsü dosyaları şifreler ve ayrıca kullanıcıya sahte bir dosya gösterebilir. Windows güncelleme.
Fidye yazılımı çalıştırıldığında, bir kayıt defteri otomatik çalıştırma anahtarı oluşturma, gerekirse mevcut dosyaların üzerine yazma, sistem dosyası özniteliklerini ayarlama ve Görev Yöneticisini devre dışı bırakma gibi eylemler de gerçekleştirir.
Her kurbana, %appdata%\ID dizininden alınan veya rastgele 40 karakterlik bir dizi kullanılarak oluşturulan benzersiz bir kimlik atanır.
Fidye yazılımı, hedeflenen dosyaları şifrelemeden ve dosya adlarına bir “.poop” uzantısı eklemeden önce kolay sistem geri yüklemesini önlemek için gölge kopyaları siler.
Ayrıca Big Head, şifreleme işlemine müdahale edilmesini önlemek ve kötü amaçlı yazılımın kilitlemesi gereken verileri serbest bırakmak için aşağıdaki işlemleri sonlandıracaktır.
Sistemin kullanılamaz hale gelmesini önlemek için Windows, Geri Dönüşüm Kutusu, Program Dosyaları, Temp, Program Verileri, Microsoft ve Uygulama Verileri dizinleri şifrelemeden atlanır.
Trend Micro, fidye yazılımının sanal bir kutu üzerinde çalışıp çalışmadığını kontrol ettiğini, sistem dilini aradığını ve yalnızca Bağımsız Devletler Topluluğu’na (eski Sovyet devletleri) üye bir ülkenin diline ayarlanmamışsa şifrelemeye devam ettiğini bulmuştur.
Şifreleme sırasında fidye yazılımı, meşru bir Windows güncellemesi gibi görünen bir ekran görüntüler.
Şifreleme işlemi tamamlandıktan sonra, aşağıdaki fidye birden fazla dizine düşer ve kurbanın duvar kağıdı da enfeksiyon uyarısı verecek şekilde değiştirilir.
Diğer varyantlar
Trend Micro ayrıca fidye yazılımının standart sürümüyle karşılaştırıldığında bazı önemli farklılıkları vurgulayarak iki Big Head varyantını daha analiz etti.
İkinci varyant, fidye yazılımı yeteneklerini korur, ancak aynı zamanda hırsız davranışını kurban sistemden hassas verileri toplama ve sızdırma işlevleriyle birleştirir.
Big Head’in bu sürümünün çalabileceği veriler arasında tarama geçmişi, dizin listesi, yüklü sürücüler, çalışan işlemler, ürün anahtarı ve etkin ağlar bulunur ve ayrıca ekran görüntüleri de yakalayabilir.
Trend Micro tarafından keşfedilen üçüncü değişken, ihlal edilen sistemdeki yürütülebilir dosyalara kötü amaçlı kod ekleyen “Neshta” olarak tanımlanan bir dosya bulaştırıcı içerir.
Bunun tam amacı belirsiz olsa da, Trend Micro’nun analistleri, bunun imza tabanlı mekanizmalara dayanan tespitten kaçınmak olabileceğini düşünüyor.
Özellikle, bu değişken diğer ikisinden farklı bir fidye notu ve duvar kağıdı kullanıyor, ancak yine de aynı tehdit aktörüne bağlı.
Çözüm
Trend Micro, Big Head’in sofistike bir fidye yazılımı türü olmadığını, şifreleme yöntemlerinin oldukça standart olduğunu ve kaçırma tekniklerinin tespit edilmesinin kolay olduğunu söylüyor.
Bununla birlikte, kolay hilelerle (ör. sahte Windows güncellemesi) kandırılabilecek veya siber güvenlik risklerinden uzaklaşmak için gerekli önlemleri anlamakta güçlük çeken tüketicilere odaklanıyor gibi görünüyor.
Dolaşımdaki birden çok varyant, Big Head’in yaratıcılarının kötü amaçlı yazılımı sürekli olarak geliştirip iyileştirdiğini ve neyin en iyi çalıştığını görmek için çeşitli yaklaşımları denediğini gösteriyor.