Beep Malware

Ερευνητές κυβερνοασφάλειας ανακάλυψαν ένα απειλητικό λογισμικό που παρακολουθείται ως «Beep». Αυτό το κακόβουλο λογισμικό έχει σχεδιαστεί με ένα ευρύ φάσμα χαρακτηριστικών που το καθιστούν εξαιρετικά ανθεκτικό στον εντοπισμό και την ανάλυση από λογισμικό ασφαλείας. Παρά το γεγονός ότι βρίσκεται στη φάση ανάπτυξης και στερείται ορισμένων βασικών στοιχείων, το κακόβουλο λογισμικό Beep έχει τη δυνατότητα να επιτρέπει στους παράγοντες απειλών να πραγματοποιούν απομακρυσμένη λήψη και εκτέλεση πρόσθετων ωφέλιμων φορτίων σε συσκευές που έχει παραβιάσει με επιτυχία. Λεπτομέρειες σχετικά με την απειλή δημοσιεύθηκαν σε μια έκθεση που δόθηκε στη δημοσιότητα από ειδικούς του infosec.

Αυτό καθιστά το Beep μια άκρως ανησυχητική απειλή για οργανισμούς και άτομα, καθώς μπορεί δυνητικά να παραχωρήσει στους εισβολείς μη εξουσιοδοτημένη πρόσβαση σε ευαίσθητες πληροφορίες και έλεγχο των επηρεαζόμενων συσκευών. Τα άτομα και οι οργανισμοί θα πρέπει να διατηρούν ενημερωμένο το λογισμικό ασφαλείας τους και να επαγρυπνούν για τυχόν σημάδια ύποπτης δραστηριότητας στις συσκευές τους για να αποτρέψουν τέτοιες επιθέσεις κακόβουλου λογισμικού.

Το κακόβουλο λογισμικό Beep μπορεί να αποτελέσει σημαντικό κίνδυνο για στοχευμένα θύματα

Το Beep έχει σχεδιαστεί για να συλλέγει ευαίσθητες πληροφορίες από την παραβιασμένη συσκευή. Αποτελείται από τρία κύρια εξαρτήματα: ένα σταγονόμετρο, έναν εγχυτήρα και το ωφέλιμο φορτίο.

Το σταγονόμετρο, γνωστό και ως 'big.dll', δημιουργεί ένα νέο κλειδί μητρώου με μια συγκεκριμένη τιμή που ονομάζεται AphroniaHaimavati.' Αυτή η τιμή περιέχει μια δέσμη ενεργειών PowerShell που είναι κωδικοποιημένη στη μορφή base64. Το σενάριο PowerShell εκκινείται από μια προγραμματισμένη εργασία στη συσκευή κάθε 13 λεπτά.

Όταν εκτελείται το σενάριο, κατεβάζει δεδομένα και τα αποθηκεύει σε ένα πρόγραμμα εισαγωγής που ονομάζεται AphroniaHaimavati.dll. Ο εγχυτήρας είναι υπεύθυνος για τη χρήση διαφόρων τεχνικών anti-debugging και anti-vm (virtualization) για την εισαγωγή του ωφέλιμου φορτίου σε μια νόμιμη διαδικασία συστήματος που ονομάζεται "WWAHost.exe". Αυτό γίνεται μέσω μιας διαδικασίας που ονομάζεται διαδικασία hollowing, η οποία βοηθά στην αποφυγή εντοπισμού από εργαλεία ασφαλείας που εκτελούνται στον κεντρικό υπολογιστή.

Το κύριο ωφέλιμο φορτίο είναι υπεύθυνο για τη συλλογή δεδομένων από την παραβιασμένη συσκευή και την κρυπτογράφηση της. Στη συνέχεια επιχειρεί να στείλει τα κρυπτογραφημένα δεδομένα στον διακομιστή εντολών και ελέγχου (C2) που ήταν κωδικοποιημένος. Κατά τη διάρκεια της ανάλυσης, η κωδικοποιημένη διεύθυνση C2 ήταν εκτός σύνδεσης, αλλά το κακόβουλο λογισμικό συνέχισε να επιχειρεί σύνδεση, ακόμη και μετά από 120 αποτυχημένες προσπάθειες.

Το κακόβουλο λογισμικό Beep επικεντρώνεται σε μεγάλο βαθμό στο να παραμείνει μη ανιχνεύσιμο

Το κακόβουλο λογισμικό Beep είναι γνωστό για τις πολλαπλές τεχνικές αποφυγής που εφαρμόζει σε όλη τη ροή εκτέλεσής του, γεγονός που καθιστά δύσκολο τον εντοπισμό και την ανάλυση από το λογισμικό ασφαλείας και τους ερευνητές της infosec. Αυτές οι τεχνικές περιλαμβάνουν, μεταξύ άλλων, απεμπλοκή συμβολοσειρών, έλεγχο γλώσσας συστήματος, ανίχνευση προγράμματος εντοπισμού σφαλμάτων, μέτρα anti-VM και anti-sandbox. Το στοιχείο injector του κακόβουλου λογισμικού εφαρμόζει επίσης αρκετές πρόσθετες τεχνικές κατά του εντοπισμού σφαλμάτων και της ανίχνευσης-διαφυγής. Η εστίαση του Beep στην φοροδιαφυγή υποδηλώνει ότι μπορεί να είναι μια επερχόμενη απειλή που πρέπει να προσέξετε, παρά τις περιορισμένες δραστηριότητές του στη φύση αυτή τη στιγμή.