باج‌افزاری که با آپدیت ویندوز به کاربران حمله می‌کند

کارشناسان امنیت سایبری باج‌افزاری جدید را کشف کرده‌اند که پیام آپدیت ویندوز جعلی به کاربران نشان می‌دهد.
 
به گزارش افتانا به نقل از بلیپینگ کامپیوتر، محققان امنیتی نوعی باج‌افزار جدید به نام Big Head را کشف کرده‌اند که ممکن است از طریق تبلیغات نادرست که به‌روزرسانی‌های جعلی ویندوز و نصب‌کننده‌های مایکروسافت ورد را تبلیغ می‌کند، منتشر شود.
 
دو نمونه از بدافزار قبلاً توسط شرکت امنیت سایبری Fortinet تجزیه و تحلیل شده است که به ناقل ویروس و نحوه اجرای بدافزار نگاه کرده است.
 
به‌تازگی Trend Micro یک گزارش فنی در مورد Big Head منتشر کرد که ادعا می‌کرد هر دو نوع و نوع سومی که نمونه‌برداری کرده‌اند از یک اپراتور منشا گرفته‌اند که احتمالاً رویکردهای مختلفی را برای بهینه‌سازی حملات خود آزمایش می‌کند.
 
باج افزار Big Head یک باینری دات‌نت است که سه فایل رمزگذاری شده با AES را روی سیستم مورد نظر نصب می‌کند: یکی برای انتشار بدافزار استفاده می‌شود، دیگری برای ارتباط با ربات تلگرام است و سومی فایل‌ها را رمزگذاری می‌کند و همچنین می‌تواند یک فایل به‌روزرسانی ویندوز جعلی را به کاربر نشان دهد.

 
در هنگام اجرا، باج‌افزار همچنین اقداماتی مانند ایجاد کلید رجیستری خودکار، بازنویسی فایل‌های موجود در صورت نیاز، تنظیم ویژگی‌های فایل سیستم و غیرفعال کردن Task Manager را انجام می‌دهد.

 
به هر قربانی یک شناسه منحصربه‌فرد اختصاص داده می‌شود که یا از دایرکتوری %appdata%ID بازیابی می‌شود یا با استفاده از یک رشته تصادفی ۴۰ کاراکتری تولید می‌شود.
 
باج‌افزار پیش از رمزگذاری فایل‌های مورد نظر و افزودن پسوند «poop.» به نام فایل‌ها، کپی‌های سایه را حذف می‌کند تا از بازیابی آسان سیستم جلوگیری کند.

 
همچنین، Big Head برای جلوگیری از دستکاری در فرآیند رمزگذاری و آزاد کردن داده‌هایی که بدافزار باید قفل کند، فرآیندهای زیر را خاتمه می‌دهد.

 
دایرکتوری های Windows، Recycle Bin، Program Files، Temp، Program Data، Microsoft و App Data از رمزگذاری حذف می‌شوند تا سیستم غیرقابل استفاده نباشد.
 
Trend Micro دریافته است که این باج‌افزار بررسی می‌کند که آیا در یک جعبه مجازی اجرا می‌شود، به دنبال زبان سیستم می‌گردد و تنها در صورتی به رمزگذاری ادامه می‌دهد که روی کشور عضو کشورهای مستقل مشترک المنافع (کشورهای شوروی سابق) تنظیم نشده باشد.

 
در طول رمزگذاری، باج‌افزار صفحه‌ای را نمایش می‌دهد که ظاهراً به‌روزرسانی قانونی ویندوز است.

 
پس از تکمیل فرآیند رمزگذاری، باج زیر در چندین فهرست حذف می‌شود و تصویر زمینه قربانی نیز برای هشدار آلودگی تغییر می‌کند.

Trend Micro همچنین دو نوع Big Head دیگر را تجزیه و تحلیل کرد و برخی از تفاوت‌های کلیدی را در مقایسه با نسخه استاندارد باج‌افزار برجسته کرد.
 
نوع دوم، قابلیت‌های باج‌افزار را حفظ می‌کند، اما رفتار سارق را با عملکردهایی برای جمع‌آوری و استخراج داده‌های حساس از سیستم قربانی نیز در بر می‌گیرد.
 
اطلاعاتی که این نسخه از Big Head می‌تواند به سرقت ببرد، شامل تاریخچه مرور، فهرست دایرکتوری‌ها، درایورهای نصب شده، فرآیندهای در حال اجرا، کلید محصول و شبکه‌های فعال است و همچنین می‌تواند اسکرین‌شات بگیرد.

 
نوع سوم که توسط Trend Micro کشف شد، دارای یک آلوده‌کننده فایل با نام «Neshta» است که کدهای مخرب را در فایل‌های اجرایی در سیستم نقض شده وارد می‌کند.
 
اگرچه هدف دقیق این امر نامشخص است، تحلیلگران Trend Micro حدس می‌زنند که این می‌تواند فرار از تشخیص متکی بر مکانیسم‌های مبتنی بر امضا باشد.
 
قابل توجه است که این نوع از یادداشت باج و پس‌زمینه متفاوتی نسبت به دو مورد دیگر استفاده می‌کند، اما همچنان به همان عامل تهدید گره خورده است.

 
Trend Micro اظهار می‌کند که Big Head یک نوع باج‌افزار پیچیده نیست، روش‌های رمزگذاری آن کاملاً استاندارد است و تکنیک‌های فرار آن به راحتی قابل شناسایی است.
 
با این وجود، به نظر می‌رسد بر مصرف‌کنندگانی تمرکز می‌کند که می‌توانند با ترفندهای آسان (مانند به‌روزرسانی جعلی ویندوز) فریب بخورند یا در درک اقدامات حفاظتی لازم برای دور شدن از خطرات امنیت سایبری مشکل دارند.
 
انواع مختلف در گردش نشان می‌دهد که سازندگان Big Head به طور مداوم در حال توسعه و پالایش بدافزار هستند و رویکردهای مختلفی را برای دیدن بهترین کارآزمایی با رویکردهای مختلف آزمایش می‌کنند.
 
منبع: Bleeping Computer