Ransomware 'Big Head' Terbaru, Tampilkan Peringatan Pembaruan Windows Palsu

BleepingComputer

Cyberthreat.id - Peneliti keamanan telah membedah strain ransomware yang baru muncul bernama 'Big Head' yang menyebar melalui malvertising yang mempromosikan pembaruan Windows palsu dan pemasang Microsoft Word.

“Dua sampel malware telah dianalisis sebelumnya oleh perusahaan keamanan siber Fortinet, yang mengamati vektor infeksi dan bagaimana malware tersebut bekerja,” demikian disampaikan BleepingComputer.

Hari ini, Trend Micro menerbitkan laporan teknis tentang Big Head yang mengklaim bahwa varian dan sepertiga yang mereka sampel berasal dari satu operator yang kemungkinan bereksperimen dengan pendekatan berbeda untuk mengoptimalkan serangan mereka.

Ransomware 'Big Head' adalah biner .NET yang menginstal tiga file terenkripsi AES pada sistem target: satu digunakan untuk menyebarkan malware, yang lain untuk komunikasi bot Telegram, dan yang ketiga mengenkripsi file dan juga dapat menunjukkan kepada pengguna palsu Pembaruan Windows.

Saat dieksekusi, ransomware juga melakukan tindakan seperti membuat kunci autorun registri, menimpa file yang ada jika diperlukan, menyetel atribut file sistem, dan menonaktifkan Pengelola Tugas.

Setiap korban diberi ID unik yang diambil dari direktori %appdata%\ID atau dihasilkan menggunakan string 40 karakter acak.

Ransomware menghapus salinan bayangan untuk mencegah pemulihan sistem yang mudah sebelum mengenkripsi file yang ditargetkan dan menambahkan ekstensi ".poop" ke nama file mereka.

Selain itu, Big Head akan menghentikan proses berikut untuk mencegah perusakan proses enkripsi dan membebaskan data yang seharusnya dikunci malware.

Direktori Windows, Recycle Bin, Program Files, Temp, Program Data, Microsoft, dan App Data dilewati dari enkripsi untuk menghindari membuat sistem tidak dapat digunakan.

Trend Micro telah menemukan bahwa ransomware memeriksa apakah itu berjalan pada kotak virtual, mencari bahasa sistem, dan hanya melanjutkan ke enkripsi jika tidak diatur pada negara anggota Commonwealth of Independent States (bekas negara Soviet).

Selama enkripsi, ransomware menampilkan layar yang dimaksudkan sebagai pembaruan Windows yang sah.

Setelah proses enkripsi selesai, tebusan berikut dijatuhkan di beberapa direktori, dan wallpaper korban juga diubah untuk waspada terhadap infeksi.

Trend Micro juga menganalisis dua varian Big Head lainnya, menyoroti beberapa perbedaan utama dibandingkan dengan versi standar ransomware.

Varian kedua mempertahankan kemampuan ransomware tetapi juga menggabungkan perilaku pencuri dengan fungsi untuk mengumpulkan dan mengekstraksi data sensitif dari sistem korban.

Data yang dapat dicuri oleh Big Head versi ini termasuk riwayat penelusuran, daftar direktori, driver yang diinstal, proses yang berjalan, kunci produk, dan jaringan aktif, dan juga dapat menangkap tangkapan layar.

Varian ketiga, ditemukan oleh Trend Micro, menampilkan infector file yang diidentifikasi sebagai "Neshta", yang menyisipkan kode berbahaya ke dalam executable pada sistem yang dilanggar.

Meskipun tujuan pastinya tidak jelas, analis Trend Micro berspekulasi bahwa ini bisa untuk menghindari deteksi yang bergantung pada mekanisme berbasis tanda tangan.

Khususnya, varian ini menggunakan catatan tebusan dan wallpaper yang berbeda dari dua lainnya, namun masih terkait dengan pelaku ancaman yang sama.

Trend Micro berkomentar bahwa Big Head bukanlah jenis ransomware yang canggih, metode enkripsinya cukup standar, dan teknik penghindarannya mudah dideteksi.

Namun demikian, tampaknya berfokus pada konsumen yang dapat dikelabui dengan trik mudah (misalnya pembaruan Windows palsu) atau mereka kesulitan memahami perlindungan yang diperlukan untuk menghindari risiko keamanan siber.

Berbagai varian yang beredar menunjukkan bahwa pembuat Big Head terus mengembangkan dan menyempurnakan malware, bereksperimen dengan berbagai pendekatan untuk melihat mana yang terbaik.[]