I ricercatori di Trend Micro hanno individuato tre varianti del ransomware Big Head con distinte funzionalità, ma con una caratteristica in comune. La distribuzione avviene tramite malvertising, in particolare attraverso inserzioni che pubblicizzano aggiornamenti di Windows e installer di Word fasulli.
Attenzione agli update fake
La prima variante è un binario .NET che installa tre file cifrati con AES: 1.exe
copia se stesso su disco, Archive.exe
copia teleratserver.exe
, Xarch.exe
copia BXIuSsB.exe
. Il file 1.exe
aggiunge l’estensione .poop
, teleratserver.exe
è il bot Telegram che stabilisce la comunicazione con i cybercriminali, BXIuSsB.exe
visualizza un update fasullo di Windows per ingannare l’utente.
Big Head aggiunge una chiave al registro di Windows per la persistenza (avvio automatico), cancella le copie shadow dei volumi per impedire il ripristino dai backup, cambia gli attributi dei file e disattiva il Task Manager (Gestione attività). Il ransomware cifra numerosi file, ma esclude quelli in alcune directory per non rendere inusabile il sistema.
Durante la procedura mostra all’utente una schermata fasulla con la percentuale di completamento dell’aggiornamento di Windows. Al termine viene cambiato lo sfondo del desktop per indicare l’infezione e visualizzato il file di testo con le istruzioni per contattare i cybercriminali.
La seconda variante copia sul computer tre diversi file, ma con funzionalità simili a quelle della precedente. In questo caso viene distribuito anche il file Server.exe
. Si tratta dell’info-stealer WorldWind che raccoglie diversi dati: cronologia dei browser, elenco delle directory, elenco dei processi in esecuzione, driver installati, reti attive, product key di Windows e screenshot.
Anche la terza variante copia il file Server.exe
, ma stavolta si tratta del malware Neshta che inietta codice infetto nei file eseguibili. Le tre versioni di Big Head indicano che il ransomware viene attivamente sviluppato.