Un nuevo ransomware en desarrollo llamado Big Head se está distribuyendo como parte de una campaña de malvertising que adopta la forma de falsas actualizaciones de Microsoft Windows y instaladores de Word.
Big Head fue documentado por primera vez por Fortinet FortiGuard Labs el mes pasado, cuando descubrieron múltiples variantes del ransomware diseñadas para cifrar archivos en las máquinas de las vÃctimas a cambio de un pago en criptomoneda.
"Una variante del ransomware Big Head muestra una falsa actualización de Windows, lo que indica potencialmente que el ransomware también se distribuyó como una falsa actualización de Windows", dijeron los investigadores de Fortinet en ese momento. "Una de las variantes tiene un icono de Microsoft Word y probablemente se distribuyó como software falsificado".
La mayorÃa de las muestras de Big Head han sido enviadas hasta ahora desde Estados Unidos, España, Francia y TurquÃa. En un nuevo análisis del ransomware basado en .NET, Trend Micro detalló su funcionamiento interno, destacando su capacidad para desplegar tres archivos binarios encriptados: 1.exe para propagar el malware, archive.exe para facilitar las comunicaciones a través de Telegram y Xarch.exe para cifrar los archivos y mostrar una falsa actualización de Windows.
"El malware muestra una interfaz falsa de actualización de Windows para engañar a la vÃctima haciéndole creer que la actividad maliciosa es un proceso legÃtimo de actualización de software, con el porcentaje de progreso en incrementos de 100 segundos", dijo la empresa de ciberseguridad.
Big Head no es diferente de otras familias de ransomware en el sentido de que elimina las copias de seguridad, termina varios procesos y realiza comprobaciones para determinar si se está ejecutando en un entorno virtualizado antes de proceder al cifrado de los archivos.
Además, el malware desactiva el Administrador de tareas para evitar que los usuarios finalicen o investiguen su proceso y se aborta a sà mismo si el idioma de la máquina coincide con el ruso, bielorruso, ucraniano, kazajo, kirguÃs, armenio, georgiano, tártaro o uzbeko. También incorpora una función de autodestrucción para borrar su presencia.
Trend Micro informó que detectó un segundo artefacto de Big Head con comportamientos tanto de ransomware como de robo de información, siendo este último el que aprovecha el "WorldWind Stealer" de código abierto para recopilar el historial del navegador web, listas de directorios, procesos en ejecución, clave del producto y redes.
También se descubrió una tercera variante de Big Head que incorpora un infectador de archivos llamado Neshta, que se utiliza para insertar código malicioso en ejecutables en el host infectado. "Incorporar Neshta en el despliegue del ransomware también puede servir como técnica de camuflaje para el payload final del ransomware Big Head", dijeron los investigadores de Trend Micro.
"Esta técnica puede hacer que la pieza de malware parezca un tipo diferente de amenaza, como un virus, lo que puede desviar la priorización de las soluciones de seguridad que se centran principalmente en detectar ransomware".
Actualmente no se conoce la identidad del actor de amenazas detrás de Big Head, pero Trend Micro identificó un canal de YouTube con el nombre "aplikasi premium cuma cuma", lo que sugiere que es probable que el adversario sea de origen indonesio.
"Los equipos de seguridad deben mantenerse preparados dada la diversidad de funcionalidades del malware", concluyeron los investigadores. "Esta naturaleza multifacética otorga al malware el potencial de causar un daño significativo una vez que esté plenamente operativo, lo que dificulta aún más la defensa de los sistemas, ya que cada vector de ataque requiere atención por separado".
¿Quieres saber más?