Jumat, 14 Juli 2023

“Big Head” Ransomware Jenis Baru Muncul Sebagai Notifikasi Pembaruan Windows Palsu

Big Head, Malware, Ransomware, Trend Micro, Windows

Peneliti keamanan telah menyelidiki jenis ransomware yang baru muncul yang dijuluki “BIG HEAD” yang berkembang biak dengan malware yang mempromosikan pembaruan Windows palsu dan pemasang Microsoft Word.

“Perusahaan keamanan siber Fortinet sebelumnya menganalisis dua sampel malware dengan memeriksa vektor infeksi dan perilaku malware,” kata BleepingComputer.

Sebelumnya, Trend Micro menerbitkan laporan teknis tentang “Big Head”, yang mengklaim bahwa varian yang mereka uji dan yang ketiga berasal dari satu operator yang mungkin bereksperimen dengan pendekatan berbeda untuk mengoptimalkan serangan.

Ransomware Big Head adalah biner .NET yang menginstal tiga file terenkripsi AES pada sistem target: Satu digunakan untuk menyebarkan malware, satu lagi untuk komunikasi bot Telegram dan yang ketiga mengenkripsi file dan juga dapat menampilkan Pembaruan Windows kepada pengguna palsu.

Selama operasi, ransomware juga melakukan fungsi seperti membuat kunci autorum registri, menimpa file yang ada jika perlu, mengatur atribut file sistem, dan menonaktifkan Pengelola Tugas. Setiap korban diberi ID unik yang diambil dari folder %appdata%\ID atau dihasilkan menggunakan string 40 karakter acak.

Ransomware menghapus salinan bayangan untuk mencegah pemulihan sistem yang mudah sebelum mengenkripsi file yang ditargetkan dan menambahkan ekstensi “.poop” ke nama file mereka. Selain itu, Big Head mematikan proses berikut untuk mencegah perusakan proses enkripsi dan melepaskan data yang seharusnya dikunci oleh malware. Folder Windows, Recycle Bin, file program, data status, data program, Microsoft dan data aplikasi dilewati oleh enkripsi sehingga sistem menjadi tidak dapat digunakan.

Trend Micro menemukan bahwa ransomware akan memeriksa apakah itu berjalan di Virtualbox, mencari bahasa sistem, dan hanya beralih ke enkripsi jika tidak diatur ke negara anggota CIS (bekas negara Soviet). Selama enkripsi, ransomware menampilkan layar yang berpura-pura menjadi pembaruan Windows yang sah.

Setelah proses enkripsi selesai, uang tebusan berikut dijatuhkan di folder yang berbeda dan jika terjadi infeksi, wallpaper korban juga diubah. Trend Micro juga menganalisis dua varian “Big Head” lainnya, menyoroti beberapa perbedaan utama dibandingkan dengan versi standar ransomware.

Versi kedua mempertahankan karakteristik ransomware, tetapi juga menggabungkan perilaku pencuri dengan operasi yang dirancang untuk mengumpulkan dan mengekstrak informasi sensitif dari sistem korban.

Data yang dapat dicuri oleh “Big Head” versi ini termasuk riwayat penelusuran, folder, driver yang diinstal, proses yang berjalan, kunci produk, jaringan aktif, dan juga dapat mengambil tangkapan layar. Versi ketiga yang terdeteksi oleh Trend Micro memiliki tag “Neshta”, yang menambahkan kode berbahaya ke file yang dapat dijalankan pada sistem yang disusupi. Meskipun tujuan pastinya tidak jelas, analisis Trend Micro berspekulasi bahwa hal ini dapat menghindari deteksi berdasarkan mekanisme berbasis tanda tangan.

Khususnya, versi ini menggunakan catatan tebusan dan wallpaper yang berbeda dari dua lainnya, tetapi tetap membawa faktor ancaman yang sama. Trend Micro mencatat bahwa “Big Head” bukanlah ransomware yang canggih, metode enkripsinya cukup standar, dan teknik penghindarannya mudah dikenali.

Namun, tampaknya berfokus pada konsumen yang tertipu oleh trik sederhana (misalnya pembaruan Windows palsu) atau yang kesulitan memahami langkah-langkah keamanan yang diperlukan untuk menghindari risiko keamanan dunia maya. Versi berbeda yang berjalan menunjukkan bahwa pengembang “Big Head” terus berkembang dan menyempurnakan malware, bereksperimen dengan berbagai pendekatan untuk melihat mana yang terbaik.