Les chercheurs en sécurité ont disséqué une souche de rançongiciel récemment apparue nommée « Big Head » qui pourrait se propager par le biais de publicités malveillantes faisant la promotion de fausses mises à jour Windows et d’installateurs Microsoft Word.

Deux échantillons du malware ont déjà été analysés par la société de cybersécurité Fortinet, qui a examiné le vecteur d’infection et la manière dont le malware s’exécute.

Aujourd’hui, Trend Micro a publié un rapport technique sur Big Head qui affirme que les deux variantes et une troisième qu’ils ont échantillonnées proviennent d’un seul opérateur qui expérimente probablement différentes approches pour optimiser ses attaques.

Simuler une mise à jour Windows
Le rançongiciel « Big Head » est un binaire .NET qui installe trois fichiers cryptés AES sur le système cible : l’un est utilisé pour propager le logiciel malveillant, un autre pour la communication du bot Telegram, et le troisième crypte les fichiers et peut également montrer à l’utilisateur un faux Windows Update.

La routine d’infection de Big Head

Lors de son exécution, le ransomware effectue également des actions telles que la création d’une clé d’exécution automatique du registre, l’écrasement des fichiers existants si nécessaire, la définition des attributs de fichier système et la désactivation du gestionnaire de tâches.

Création de l’exécution automatique du registre

Chaque victime se voit attribuer un identifiant unique qui est soit extrait du répertoire %appdata%\ID, soit généré à l’aide d’une chaîne aléatoire de 40 caractères.

Le ransomware supprime les clichés instantanés pour empêcher une restauration facile du système avant de crypter les fichiers ciblés et d’ajouter une extension « .poop » à leurs noms de fichiers.

Types de fichiers ciblés par Big Head

En outre, Big Head mettra fin aux processus suivants pour empêcher la falsification du processus de cryptage et pour libérer des données que le logiciel malveillant devrait verrouiller.

Processus terminés avant le chiffrement

Les répertoires Windows, Corbeille, Program Files, Temp, Program Data, Microsoft et App Data sont ignorés du chiffrement pour éviter de rendre le système inutilisable.

Trend Micro a constaté que le ransomware vérifie s’il s’exécute sur une boîte virtuelle, recherche la langue du système et ne procède au cryptage que s’il n’est pas défini sur celui d’un pays membre de la Communauté des États indépendants (anciens États soviétiques).

Langues système valides pour le chiffrement

Pendant le cryptage, le ransomware affiche un écran qui prétend être une mise à jour légitime de Windows.

Fausse mise à jour de Windows masquant le cryptage des fichiers

Une fois le processus de cryptage terminé, la rançon suivante est déposée sur plusieurs répertoires et le fond d’écran de la victime est également modifié pour alerter de l’infection.

Fond d’écran et note de rançon

Autres variantes
Trend Micro a également analysé deux autres variantes de Big Head, soulignant certaines différences clés par rapport à la version standard du ransomware.

La deuxième variante conserve les capacités du rançongiciel mais intègre également un comportement de voleur avec des fonctions pour collecter et exfiltrer les données sensibles du système victime.

Les données que cette version de Big Head peut voler incluent l’historique de navigation, la liste des répertoires, les pilotes installés, les processus en cours d’exécution, la clé de produit et les réseaux actifs, et elle peut également capturer des captures d’écran.

Routine d’infection de deuxième variante

La troisième variante, découverte par Trend Micro, comporte un infecteur de fichiers identifié comme « Neshta », qui insère un code malveillant dans les exécutables du système piraté.

Bien que le but exact de cela ne soit pas clair, les analystes de Trend Micro pensent que cela pourrait être d’échapper à la détection qui repose sur des mécanismes basés sur les signatures.

Notamment, cette variante utilise une note de rançon et un fond d’écran différents des deux autres, mais elle est toujours liée au même acteur menaçant.

Routine d’infection de la troisième variante

Conclusion
Trend Micro commente que Big Head n’est pas une souche sophistiquée de ransomware, ses méthodes de cryptage sont assez standard et ses techniques d’évasion sont faciles à détecter.

Néanmoins, il semble se concentrer sur les consommateurs qui peuvent être trompés par des astuces simples (par exemple, une fausse mise à jour Windows) ou qui ont du mal à comprendre les garanties nécessaires pour éviter les risques de cybersécurité.

Les multiples variantes en circulation suggèrent que les créateurs de Big Head développent et affinent continuellement le logiciel malveillant, expérimentant diverses approches pour voir ce qui fonctionne le mieux.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *