Các nhà nghiên cứu bảo mật đã phân tích một chủng ransomware mới xuất hiện gần đây có tên là 'Big Head'. Chủng này có thể được lây lan thông qua các quảng cáo độc hại để phát tán các bản cập nhật Windows và chương trình cài đặt Microsoft Word giả mạo. Hai mẫu của phần mềm độc hại này đã từng được phân tích trước đây bởi công ty bảo mật Fortinet.
Mới đây, Trend Micro đã chia sẻ một báo cáo kỹ thuật về Big Head cho biết rằng cả hai biến thể và một biến thể thứ ba mà họ phân tích đều bắt nguồn từ cùng một tác nhân đe dọa, có khả năng đang thử nghiệm các phương pháp khác nhau để tối ưu hóa các cuộc tấn công của chúng.
Giả mạo bản cập nhật Windows
Phần mềm tống tiền 'Big Head' là một tệp nhị phân .NET cài đặt ba tệp được mã hóa AES trên hệ thống mục tiêu: một tệp được sử dụng để lây lan phần mềm độc hại, một tệp dùng để trao đổi dữ liệu với bot Telegram và tệp còn lại dùng để mã hóa các tệp và hiển thị cho người dùng một cảnh báo cập nhật giả mạo.
Khi thực thi, phần mềm tống tiền cũng thực hiện các hành động như tạo một khóa registry để tự động khởi chạy, ghi đè lên các tệp hiện có nếu cần, thiết lập các thuộc tính của tệp hệ thống và vô hiệu hóa Chương trình quản lý tác vụ (Task Manager).
Big Head thực hiện xóa các bản sao ẩn trước khi mã hóa tệp để ngăn việc khôi phục hệ thống dễ dàng và thêm phần mở rộng “.poop” vào tên tệp của chúng. Ngoài ra, nó sẽ dừng các tiến trình có khả năng cản trở hoặc can thiệp vào quá trình mã hóa. Các thư mục Windows, Recycle Bin, Program Files, Temp, Program Data, Microsoft và App Data được bỏ qua để tránh làm cho hệ thống không sử dụng được.
Trend Micro phát hiện ra rằng phần mềm tống tiền sẽ kiểm tra xem nó có chạy trên một môi trường ảo hóa (virtual box) hay không, xác định ngôn ngữ hệ thống đích và chỉ tiến hành mã hóa nếu ngôn ngữ này không phải của một trong các quốc gia thuộc Cộng đồng các quốc gia độc lập (Commonwealth of Independent States).Trong quá trình mã hóa, phần mềm tống tiền hiển thị một màn hình giả dạng giao diện cập nhật Windows hợp pháp.
Giả mạo giao diện cập nhật Windows trong khi mã hóa tệp (Trend Micro)
Sau khi quá trình mã hóa hoàn tất, thông báo yêu cầu tiền chuộc sẽ được gửi vào nhiều thư mục và hình nền của nạn nhân cũng bị thay đổi để cho thấy sự lây nhiễm.
Hình nền và ghi chú tiền chuộc (Trend Micro)
Các biến thể khác
Trend Micro cũng đã phân tích thêm hai biến thể khác của Big Head và nêu ra một số điểm khác biệt chính so với phiên bản tiêu chuẩn của ransomware.
Biến thể thứ hai có đầy đủ các khả năng của phần mềm tống tiền kết hợp với khả năng của một mã độc đánh cắp thông tin như thu thập và trích xuất dữ liệu nhạy cảm từ hệ thống nạn nhân. Dữ liệu mà nó có thể đánh cắp bao gồm lịch sử duyệt web, danh sách thư mục, driver đã cài đặt, tiến trình đang chạy, khóa (key) sản phẩm,… đồng thời nó còn có thể chụp ảnh màn hình.
Biến thể thứ ba, do Trend Micro phát hiện, có tính năng lây nhiễm một tệp được xác định là “Neshta”, chèn mã độc vào các tệp thực thi trên hệ thống bị xâm phạm, có thể nhằm mục đích giảm khả năng bị phát hiện. Đáng chú ý, biến thể này sử dụng một thông báo đòi tiền chuộc và hình nền khác với hai biến thể còn lại, nhưng nó vẫn được liên kết với cùng một tác nhân đe dọa.
Kết luận
Trend Micro cho biết rằng Big Head không phải là một chủng ransomware tinh vi, các phương thức mã hóa của nó khá phổ biến và các kỹ thuật trốn tránh của nó cũng dễ dàng nhận biết. Tuy nhiên, nhiều biến thể được tạo ra cho thấy kẻ đứng sau Big Head đang liên tục phát triển và tinh chỉnh phần mềm độc hại, thử nghiệm nhiều cách tiếp cận khác nhau để tối ưu hóa hoạt động tấn công.
Để giảm thiểu nguy cơ bị tấn công bởi các phần mềm độc hại như vậy, người dùng luôn phải cảnh giác khi truy cập vào một đường link hay tải xuống một tệp từ nguồn lạ, tốt nhất, bạn chỉ nên tải xuống các tệp từ những nguồn đáng tin cậy. Ngoài ra, bạn nên luôn bật và cập các hệ thống bảo vệ như tưởng lửa, phần mềm diệt virus để có thể kịp thời phát hiện và ngăn chặn mã độc lây nhiễm vào thiết bị của mình.
Nguồn: bleepingcomputer.com
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện ra hai ứng dụng quản lý tệp độc hại trên Google Play với tổng số lượt cài đặt đến hơn 1,5 triệu lượt đã thu thập nhiều dữ liệu [của người dùng] không cần thiết cho các chức năng như đã mô tả.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện một công cụ đánh cắp thông tin dựa trên Windows mới có tên ‘Meduza Stealer’ vẫn đang được phát triển để nâng cao khả năng che dấu, tránh bị phát hiện, trước các giải pháp phần mềm.
Tín nhiệm mạng | Một tin tặc có nguồn gốc từ Mexico đã được liên kết với một chiến dịch phần mềm độc hại dành cho thiết bị di động Android nhắm mục tiêu vào các tổ chức tài chính trên toàn cầu
Tín nhiệm mạng | Cơ quan an ninh mạng của Mỹ (CISA) đã thêm bộ tám lỗ hổng trong các thiết bị Samsung và D-Link vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về các hoạt động khai thác trong thực tế.
Tín nhiệm mạng | Hàng trăm nghìn tường lửa FortiGate dễ bị tấn công trước một lỗ hổng bảo mật nghiêm trọng có định danh CVE-2023-27997, sau gần một tháng kể từ khi Fortinet phát hành bản vá cho lỗ hổng.
Tín nhiệm mạng | Microsoft đã bác bỏ tuyên bố của những kẻ được gọi là hacker “Anonymous Sudan” rằng họ đã xâm phạm máy chủ của công ty và đánh cắp thông tin đăng nhập của 30 triệu tài khoản khách hàng.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
