Se propager via de fausses mises à jour Windows

11 juil. 2023THNRançongiciels / Sécurité Windows

Un logiciel de rançon en développement appelé Grosse tête est distribué dans le cadre d’une campagne de publicité malveillante qui prend la forme de fausses mises à jour Microsoft Windows et d’installateurs Word.

Big Head a été documenté pour la première fois par Fortinet FortiGuard Labs le mois dernier, lorsqu’il a découvert plusieurs variantes du ransomware conçues pour chiffrer les fichiers sur les machines des victimes en échange d’un paiement en crypto-monnaie.

“Une variante du rançongiciel One Big Head affiche une fausse mise à jour Windows, indiquant potentiellement que le rançongiciel a également été distribué en tant que fausse mise à jour Windows”, ont déclaré les chercheurs de Fortinet à l’époque. “L’une des variantes a une icône Microsoft Word et a probablement été distribuée en tant que logiciel contrefait.”

La majorité des échantillons Big Head ont été soumis jusqu’à présent par les États-Unis, l’Espagne, la France et la Turquie.

Dans une nouvelle analyse du ransomware basé sur .NET, Trend Micro a détaillé son fonctionnement interne, appelant à sa capacité à déployer trois binaires chiffrés : 1.exe pour propager le logiciel malveillant, archive.exe pour faciliter les communications via Telegram et Xarch.exe. pour chiffrer les fichiers et” afficher une fausse mise à jour Windows.

“Le logiciel malveillant affiche une fausse interface utilisateur Windows Update pour tromper la victime en lui faisant croire que l’activité malveillante est un processus de mise à jour logicielle légitime, avec le pourcentage de progression par incréments de 100 secondes”, a déclaré la société de cybersécurité. a dit.

Big Head n’est pas différent des autres familles de rançongiciels en ce sens qu’il supprime les sauvegardes, met fin à plusieurs processus et effectue des vérifications pour déterminer s’il s’exécute dans un environnement virtualisé avant de procéder au chiffrement des fichiers.

De plus, le logiciel malveillant désactive le gestionnaire de tâches pour empêcher les utilisateurs de terminer ou d’enquêter sur son processus et s’interrompt si la langue de la machine correspond à celle du russe, du biélorusse, de l’ukrainien, du kazakh, du kirghize, de l’arménien, du géorgien, du tatar et de l’ouzbek. Il intègre également une fonction d’auto-suppression pour effacer sa présence.

Trend Micro a déclaré avoir détecté un deuxième artefact Big Head avec à la fois des comportements de ransomware et de voleur, ce dernier tirant parti de l’open-source WorldWind Stealer pour récolter l’historique du navigateur Web, les listes de répertoires, les processus en cours d’exécution, la clé de produit et les réseaux.

On a également découvert une troisième variante de Big Head qui intègre un infecteur de fichiers appelé Neshta, qui est utilisé pour insérer du code malveillant dans des exécutables sur l’hôte infecté.

“L’intégration de Neshta dans le déploiement du ransomware peut également servir de technique de camouflage pour la charge utile finale du ransomware Big Head”, ont déclaré les chercheurs de Trend Micro.

“Cette technique peut faire apparaître le logiciel malveillant comme un type de menace différent, tel qu’un virus, ce qui peut détourner la hiérarchisation des solutions de sécurité qui se concentrent principalement sur la détection des ransomwares.”

L’identité de l’auteur de la menace derrière Big Head n’est actuellement pas connue, mais Trend Micro a déclaré avoir identifié une chaîne YouTube avec le nom “aplikasi premium cuma cuma”, suggérant un adversaire probablement d’origine indonésienne.

“Les équipes de sécurité doivent rester préparées compte tenu des diverses fonctionnalités du malware”, ont conclu les chercheurs. “Cette nature à multiples facettes donne au logiciel malveillant le potentiel de causer des dommages importants une fois pleinement opérationnel, ce qui rend plus difficile la défense des systèmes contre, car chaque vecteur d’attaque nécessite une attention particulière.”