Beep Malware

Изследователите на киберсигурността разкриха заплашителен софтуер, който се проследява като „Beep“. Този зловреден софтуер е проектиран с широк набор от функции, които го правят силно устойчив на откриване и анализ от софтуер за сигурност. Въпреки че е във фаза на разработка и му липсват определени основни компоненти, злонамереният софтуер Beep има способността да позволи на участниците в заплахата да изтеглят дистанционно и да изпълняват допълнителни полезни натоварвания на устройства, които успешно е компрометирал. Подробности за заплахата бяха публикувани в доклад, публикуван от експерти по информационна сигурност.

Това прави Beep изключително тревожна заплаха за организации и лица, тъй като потенциално може да предостави на нападателите неоторизиран достъп до чувствителна информация и контрол върху засегнатите устройства. Физическите лица и организациите трябва да поддържат своя софтуер за сигурност актуален и да бъдат бдителни за всякакви признаци на подозрителна дейност на своите устройства, за да предотвратят подобни атаки на зловреден софтуер.

Зловреден софтуер Beep може да представлява значителна опасност за целевите жертви

Звуковият сигнал е предназначен да събира поверителна информация от компрометираното устройство. Състои се от три основни компонента: капкомер, инжектор и полезен товар.

Капкомерът, известен също като „big.dll“, създава нов ключ в регистъра със специфична стойност, наречена AphroniaHaimavati.“ Тази стойност съдържа скрипт на PowerShell, който е кодиран във формат base64. Скриптът PowerShell се стартира от планирана задача на устройството на всеки 13 минути.

Когато скриптът се изпълнява, той изтегля данни и ги записва в инжектор, наречен AphroniaHaimavati.dll. Инжекторът е отговорен за използването на различни техники за отстраняване на грешки и анти-vm (виртуализация) за инжектиране на полезния товар в легитимен системен процес, наречен „WWAHost.exe“. Това се прави чрез процес, наречен процес hollowing, който помага да се избегне откриването от инструменти за сигурност, работещи на хоста.

Основният полезен товар отговаря за събирането на данни от компрометираното устройство и криптирането им. След това се опитва да изпрати криптираните данни до сървър за командване и контрол (C2), който е твърдо кодиран. По време на анализа твърдо кодираният C2 адрес беше офлайн, но злонамереният софтуер продължи да прави опити за връзка дори след 120 неуспешни опита.

Зловреден софтуер Beep е силно фокусиран върху това да остане неоткрит

Злонамереният софтуер Beep е известен с множеството си техники за избягване, внедрени в целия му поток на изпълнение, което затруднява откриването и анализа от софтуера за сигурност и изследователите на информационната сигурност. Тези техники включват деобфускация на низове, проверка на езика на системата, откриване на дебъгер, анти-VM и анти-sandbox мерки, между другото. Компонентът за инжектиране на зловреден софтуер също така прилага няколко допълнителни техники за отстраняване на грешки и за избягване на откриване. Фокусът на Beep върху укриването показва, че това може да е предстояща заплаха, за която трябва да внимавате, въпреки ограничените му операции в дивата природа в момента.