Le ransomware Big Head se fait passer pour une mise à jour Windows
Des chercheurs en sécurité ont mis la main sur un nouveau ransomware surnommé Big Head, qui se diffuse par le biais de campagnes publicitaires malveillantes pour promouvoir une fausse mise à jour Windows. Faisons le point sur cette menace.
D'abord repéré par Fortinet, puis récemment analysé par les équipes de chez Trend Micro, le ransomware Big Head circule sous plusieurs variantes. Son principal vecteur de diffusion, ce sont des publicités malveillantes, dans le cadre d'une campagne de malvertising. L'objectif est clair : apparaître dans le top des résultats sur les moteurs de recherche dans le but de piéger l'utilisateur. Récemment, cette technique a également était utilisée dans une campagne qui utilisait le logiciel WinSCP comme leurre.
Le ransomware Big Head se présente sous la forme d'un exécutable .NET et il installe trois fichiers différents sur la machine compromise. Pour l'une des variantes, cela donne :
- 1.exe qui se copie lui-même sur la machine pour déployer le ransomware, sous le nom "discord.exe" dans le répertoire "AppData\Local" de la session
- archive.exe pour communiquer avec les cybercriminels à partir d'un bot Telegram
- Xarch.exe pour chiffrer les fichiers et afficher une fausse mise à jour Windows à l'écran
Chaque victime est associée à un ID unique, et avant d'entrer en action, le ransomware veille à supprimer les clichés instantanés de manière à ne pas permettre le retour en arrière via ce biais. En complément, il met fin à certains processus qui pourraient interférer avec le processus de chiffrement (verrouillage sur un fichier, par exemple). Ensuite, les fichiers sont chiffrés et terminent avec l'extension ".poop".
Les chercheurs ont aussi remarqué que le ransomware chiffre les fichiers uniquement sur les machines où le langage utilisé n'appartient pas à un pays membre du Commonwealth. Autrement dit, la France peut être impactée par ce ransomware. Bien que ce soit surprenant, ce n'est pas la première fois qu'un ransomware filtre les victimes de cette façon.
Enfin, pendant le processus de chiffrement, le ransomware affiche un écran qui laisse penser qu'il y a une mise à jour Windows en cours d'installation. Alors, qu'en fait, les fichiers sont chiffrés pendant ce temps-là. À la fin, une note de rançon est déposée sur le serveur et le fond d'écran est modifié aussi : ce qui ne laisse pas de place aux doutes.
Trend Micro estime que ce n'est pas un ransomware très sophistiqué et qu'il est facilement détectable avec les outils de sécurité. Le ransomware Big Head va plutôt chercher à abuser des personnes qui ne sont pas suffisamment méfiantes ou averties sur le sujet, en prenant une mise à jour Windows comme leurre.
