Oczywiście nie chodzi o aktualizacje wydane przez Microsoft. Istnieje jednak wirus, który udaje aktualizację.
Chodzi o Big Head. To zagrożenie typu ransomware (żądające okupu za Twoje dane), podszywające się pod aktualizacje systemu Windows lub instalator edytora tekstu Word. Można na niego trafić na przykład za pośrednictwem fałszywej reklamy z informacją o dostępnej aktualizacji.
Big Head został pierwszy raz udokumentowany w czerwcu 2023 roku i specjaliści od razu opisali kilka wariantów zagrożenia. Szkodliwy program szyfruje dane na zainfekowanym komputerze i domaga się wpłaty w kryptowalucie w zamian za ich przywrócenie. Zakres jego działania jest jednak szerszy.
Wtedy też pierwszy raz pojawiła się wzmianka o fałszywej aktualizacji Windowsa. Szkodliwy program po uruchomieniu wyświetlał nawet komunikaty podobne do tych, jakie prezentują prawdziwe aktualizacje oraz postęp w procentach. Wszystko po to, by użytkownik nie denerwował się, gdy na jego komputerze coś trwa dłuższy czas. Dzięki temu ransomware jest w stanie spokojnie zaszyfrować sporo danych. Ten sam raport mów też o podrobionym instalatorze Worda.
Najwięcej próbek zagrożenia Big Head zostało zebranych we Francji, Hiszpanii, Turcji i Stanach Zjednoczonych.
Malware został przeanalizowany przez specjalistów z Trend Micro. Szkodliwy program został napisany z użyciem frameworka .NET i uruchamia trzy zaszyfrowane programy:
Widać, że żądający okupu uczą się na błędach. Big Head nie tylko skutecznie szyfruje dane, ale też utrudnia ich odtworzenie bez płacenia. Ransomware jest bowiem w stanie kasować kopie zapasowe plików, jeśli tylko je znajdzie. Część danych może też wysłać do atakujących, korzystając z otwartoźródłowego modułu WorldWind Stealer. Cyberprzestępcy polują na historię przeglądarki, klucze produktu, zapamiętane sieci, listę plików i listę uruchomionych procesów.
Znaleziono też wariant wyposażony w injector Neshta, zdolny infekować pliki obecne już na komputerze. Specjaliści zaznaczają, że może to być kamuflarz. W ten sposób antywirus zajmie się najpierw injectorem, a ransomware zyska na czasie.
Ponadto Big Head kończy pracę różnych procesów i wyłącza dostęp do Menedżera zadań, by nie było możliwe zakończenie jego procesu ręcznie – to na wypadek, gdyby użytkownik jednak się zorientował, co się dzieje z jego danymi. Ransomware sprawdza również, czy działa w maszynie wirtualnej i jeśli tak, nie uruchamia pełnego arsenału, a nawet może sam się usunąć.
Wisienką na torcie jest to, że pewne osoby są wykluczone z listy celów. Ransomware nie uruchomi się na systemach pracujących w języku rosyjskim, białoruskim, ukraińskim, kazachskim, armeńskim, uzbeckim, tatarskim i kirgiskim. To może sugerować jego pochodzenie, zwłaszcza w połączeniu z komunikacją przez Telegram, ale nie musi. Eksperci z Trend Micro podejrzewają, że zagrożenie pochodzi z Indonezji.
Źródło zdjęć: Thannaree Deepul / Shutterstock, Trend Micro
Źródło tekstu: Fortinet, Trend Micro
