🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Đắk Ring, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Pờ Ê, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ ban nhân dân xã Măng Bút, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

Phần mềm tống tiền 'Big Head' mới giả mạo cảnh báo cập nhật Windows

10/07/2023

Các nhà nghiên cứu bảo mật đã phân tích một chủng ransomware mới xuất hiện gần đây có tên là 'Big Head'. Chủng này có thể được lây lan thông qua các quảng cáo độc hại để phát tán các bản cập nhật Windows và chương trình cài đặt Microsoft Word giả mạo. Hai mẫu của phần mềm độc hại này đã từng được phân tích trước đây bởi công ty bảo mật Fortinet.

Mới đây, Trend Micro đã chia sẻ một báo cáo kỹ thuật về Big Head cho biết rằng cả hai biến thể và một biến thể thứ ba mà họ phân tích đều bắt nguồn từ cùng một tác nhân đe dọa, có khả năng đang thử nghiệm các phương pháp khác nhau để tối ưu hóa các cuộc tấn công của chúng.

Giả mạo bản cập nhật Windows

Phần mềm tống tiền 'Big Head' là một tệp nhị phân .NET cài đặt ba tệp được mã hóa AES trên hệ thống mục tiêu: một tệp được sử dụng để lây lan phần mềm độc hại, một tệp dùng để trao đổi dữ liệu với bot Telegram và tệp còn lại dùng để mã hóa các tệp và hiển thị cho người dùng một cảnh báo cập nhật giả mạo.

Khi thực thi, phần mềm tống tiền cũng thực hiện các hành động như tạo một khóa registry để tự động khởi chạy, ghi đè lên các tệp hiện có nếu cần, thiết lập các thuộc tính của tệp hệ thống và vô hiệu hóa Chương trình quản lý tác vụ (Task Manager).

Big Head thực hiện xóa các bản sao ẩn trước khi mã hóa tệp để ngăn việc khôi phục hệ thống dễ dàng và thêm phần mở rộng “.poop” vào tên tệp của chúng. Ngoài ra, nó sẽ dừng các tiến trình có khả năng cản trở hoặc can thiệp vào quá trình mã hóa. Các thư mục Windows, Recycle Bin, Program Files, Temp, Program Data, Microsoft và App Data được bỏ qua để tránh làm cho hệ thống không sử dụng được.

Trend Micro phát hiện ra rằng phần mềm tống tiền sẽ kiểm tra xem nó có chạy trên một môi trường ảo hóa (virtual box) hay không, xác định ngôn ngữ hệ thống đích và chỉ tiến hành mã hóa nếu ngôn ngữ này không phải của một trong các quốc gia thuộc Cộng đồng các quốc gia độc lập (Commonwealth of Independent States).Trong quá trình mã hóa, phần mềm tống tiền hiển thị một màn hình giả dạng giao diện cập nhật Windows hợp pháp.

Giả mạo giao diện cập nhật Windows trong khi mã hóa tệp (Trend Micro)

Sau khi quá trình mã hóa hoàn tất, thông báo yêu cầu tiền chuộc sẽ được gửi vào nhiều thư mục và hình nền của nạn nhân cũng bị thay đổi để cho thấy sự lây nhiễm.

Hình nền và ghi chú tiền chuộc (Trend Micro)

Các biến thể khác

Trend Micro cũng đã phân tích thêm hai biến thể khác của Big Head và nêu ra một số điểm khác biệt chính so với phiên bản tiêu chuẩn của ransomware.

Biến thể thứ hai có đầy đủ các khả năng của phần mềm tống tiền kết hợp với khả năng của một mã độc đánh cắp thông tin như thu thập và trích xuất dữ liệu nhạy cảm từ hệ thống nạn nhân. Dữ liệu mà nó có thể đánh cắp bao gồm lịch sử duyệt web, danh sách thư mục, driver đã cài đặt, tiến trình đang chạy, khóa (key) sản phẩm,… đồng thời nó còn có thể chụp ảnh màn hình.

Biến thể thứ ba, do Trend Micro phát hiện, có tính năng lây nhiễm một tệp được xác định là “Neshta”, chèn mã độc vào các tệp thực thi trên hệ thống bị xâm phạm, có thể nhằm mục đích giảm khả năng bị phát hiện. Đáng chú ý, biến thể này sử dụng một thông báo đòi tiền chuộc và hình nền khác với hai biến thể còn lại, nhưng nó vẫn được liên kết với cùng một tác nhân đe dọa.

Kết luận

Trend Micro cho biết rằng Big Head không phải là một chủng ransomware tinh vi, các phương thức mã hóa của nó khá phổ biến và các kỹ thuật trốn tránh của nó cũng dễ dàng nhận biết. Tuy nhiên, nhiều biến thể được tạo ra cho thấy kẻ đứng sau Big Head đang liên tục phát triển và tinh chỉnh phần mềm độc hại, thử nghiệm nhiều cách tiếp cận khác nhau để tối ưu hóa hoạt động tấn công.

Để giảm thiểu nguy cơ bị tấn công bởi các phần mềm độc hại như vậy, người dùng luôn phải cảnh giác khi truy cập vào một đường link hay tải xuống một tệp từ nguồn lạ, tốt nhất, bạn chỉ nên tải xuống các tệp từ những nguồn đáng tin cậy. Ngoài ra, bạn nên luôn bật và cập các hệ thống bảo vệ như tưởng lửa, phần mềm diệt virus để có thể kịp thời phát hiện và ngăn chặn mã độc lây nhiễm vào thiết bị của mình.

Nguồn: bleepingcomputer.com

scrolltop