Beep Malware

Els investigadors de ciberseguretat han descobert un programari amenaçador que s'està rastrejant com a "Beep". Aquest programari maliciós ha estat dissenyat amb una àmplia gamma de característiques que el fan altament resistent a la detecció i anàlisi del programari de seguretat. Tot i estar en fase de desenvolupament i mancar de certs components essencials, el programari maliciós Beep té la capacitat de permetre que els actors d'amenaces baixin i executin de forma remota càrregues útils addicionals en dispositius que ha compromès amb èxit. Els detalls sobre l'amenaça es van donar a conèixer en un informe publicat per experts en infosec.

Això fa que Beep sigui una amenaça molt preocupant per a organitzacions i persones, ja que pot concedir als atacants accés no autoritzat a informació sensible i control sobre els dispositius afectats. Les persones i les organitzacions han de mantenir el seu programari de seguretat actualitzat i estar atents a qualsevol indici d'activitat sospitosa als seus dispositius per evitar aquests atacs de programari maliciós.

El programari maliciós Beep pot representar un perill important per a les víctimes apuntades

Beep està dissenyat per recollir informació sensible del dispositiu compromès. Està format per tres components principals: un comptagotes, un injector i la càrrega útil.

El comptagotes, també conegut com "big.dll", crea una nova clau de registre amb un valor específic anomenat AphroniaHaimavati.' Aquest valor conté un script de PowerShell que està codificat en el format base64. L'script de PowerShell es llança mitjançant una tasca programada al dispositiu cada 13 minuts.

Quan s'executa l'script, baixa dades i les desa en un injector anomenat AphroniaHaimavati.dll. L'injector és responsable d'utilitzar diverses tècniques anti-depuració i anti-vm (virtualització) per injectar la càrrega útil en un procés legítim del sistema anomenat "WWAHost.exe". Això es fa mitjançant un procés anomenat process hollowing, que ajuda a evadir la detecció de les eines de seguretat que s'executen a l'amfitrió.

La càrrega útil principal és la responsable de recollir dades del dispositiu compromès i xifrar-les. A continuació, intenta enviar les dades xifrades al servidor d'ordres i control (C2) que es va codificar. Durant l'anàlisi, l'adreça C2 codificada en dur estava fora de línia, però el programari maliciós va continuar intentant la connexió, fins i tot després de 120 intents fallits.

El programari maliciós Beep està molt enfocat a no ser detectat

El programari maliciós Beep és conegut per les seves múltiples tècniques d'evasió implementades al llarg del seu flux d'execució, cosa que dificulta la detecció i l'anàlisi per part del programari de seguretat i els investigadors d'infosec. Aquestes tècniques inclouen la desofuscació de cadenes, la comprovació de l'idioma del sistema, la detecció del depurador, les mesures anti-VM i anti-sandbox, entre d'altres. El component d'injecció del programari maliciós també implementa diverses tècniques addicionals d'antidepuració i detecció-evasió. El focus de Beep en l'evasió indica que pot ser una amenaça propera a tenir en compte, malgrat les seves limitades operacions a la natura actualment.