Big Head

By news | 12 Luglio 2023
0 Comment

Big Head è un ransomware in via di sviluppo che viene diffuso attraverso una campagna di malvertising, presentandosi come falsi aggiornamenti di Microsoft Windows e installatori di Word. Questo ransomware, scoperto per la prima volta da Fortinet FortiGuard Labs, come la maggior parte, crittografa i file presenti sulle macchine delle vittime e richiede un pagamento in criptovaluta per ripristinarli.

Una delle varianti di Big Head mostra una falsa schermata di aggiornamento di Windows, suggerendo che il ransomware venga distribuito anche come finto aggiornamento del sistema operativo. Un’altra variante utilizza un’icona di Microsoft Word, probabilmente per ingannare gli utenti facendo loro credere di installare un software contraffatto.

Big Head proviene dagli Stati Uniti, dalla Spagna, dalla Francia e dalla Turchia. Trend Micro ha condotto un’analisi dettagliata di questo ransomware basato su .NET, rivelando il suo funzionamento interno. Big Head utilizza tre file binari criptati: 1.exe per diffondere il malware, archive.exe per comunicare tramite Telegram e Xarch.exe per crittografare i file e mostrare una falsa schermata di aggiornamento di Windows.

Come molti altri ransomware, Big Head elimina i backup, termina vari processi e verifica se sta operando in un ambiente virtualizzato prima di procedere alla crittografia dei file. Disabilita anche il Task Manager per impedire agli utenti di interrompere o indagare sul suo processo. Inoltre, se la lingua del sistema è russo, bielorusso, ucraino, kazako, kirghiso, armeno, georgiano, tatari, o uzbeko, il malware si interrompe automaticamente. Big Head include anche una funzione di autodistruzione per cancellare le sue tracce.

Trend Micro ha identificato una seconda variante di Big Head con comportamenti sia di ransomware che di stealer, in grado di raccogliere la cronologia del browser, le directory, i processi in esecuzione e altre informazioni. È stata scoperta anche una terza variante che utilizza un infettore di file chiamato Neshta per inserire codice dannoso negli eseguibili.

Iscriviti alla Newsletter

Niente spam. Avremo cura dei tuoi dati. Riceverai i nostri contenuti aggiornati nella tua casella di posta.

🖥️ 🖨️ 🖱️ 😀 📲 📸 💶 📂 🔓 🪛 📪

👋 💫 Leggi la nostra Informativa sulla privacy per avere maggiori informazioni. 👋 💫