Beep Malware

Küberturvalisuse teadlased on avastanud ähvardava tarkvara, mida jälgitakse kui piiksu. See pahavara on loodud suure hulga funktsioonidega, mis muudavad selle turvatarkvara tuvastamise ja analüüsi suhtes väga vastupidavaks. Vaatamata sellele, et see on arendusfaasis ja sellel puuduvad teatud olulised komponendid, suudab Beep pahavara lubada ohus osalejatel kaugjuhtimisega alla laadida ja käivitada täiendavaid kasulikke koormusi seadmetes, mille see on edukalt ohustanud. Ohu üksikasjad avaldati infoseci ekspertide avaldatud aruandes.

See muudab Beepi organisatsioonidele ja üksikisikutele väga murettekitavaks ohuks, kuna see võib anda ründajatele volitamata juurdepääsu tundlikule teabele ja kontrolli mõjutatud seadmete üle. Üksikisikud ja organisatsioonid peaksid hoidma oma turbetarkvara ajakohasena ning olema valvsad, et nende seadmetes ei tekiks märke kahtlasest tegevusest, et selliseid pahavararünnakuid ära hoida.

Beep Malware võib sihtohvritele kujutada märkimisväärset ohtu

Piiks on loodud tundliku teabe kogumiseks ohustatud seadmest. See koosneb kolmest põhikomponendist: tilgutist, pihustist ja kandevõimest.

Tilguti, tuntud ka kui 'big.dll', loob uue registrivõtme konkreetse väärtusega AphroniaHaimavati. See väärtus sisaldab PowerShelli skripti, mis on kodeeritud base64-vormingus. PowerShelli skript käivitatakse seadmes ajastatud toiminguga iga 13 minuti järel.

Kui skript töötab, laadib see alla andmed ja salvestab need pihustisse nimega AphroniaHaimavati.dll. Injektor vastutab mitmesuguste silumisvastaste ja VM-vastaste (virtualiseerimis-) tehnikate kasutamise eest, et sisestada kasulik koormus seaduslikku süsteemiprotsessi nimega WWAHost.exe. Seda tehakse protsessi kaudu, mida nimetatakse protsessi õõnestamiseks, mis aitab vältida hostis töötavate turbetööriistade tuvastamist.

Esmane kasulik koormus vastutab ohustatud seadmest andmete kogumise ja selle krüptimise eest. Seejärel proovib see saata krüptitud andmeid kõvakodeeritud käsu- ja juhtimisserverisse (C2). Analüüsi ajal oli kõvakoodiga C2-aadress võrguühenduseta, kuid pahavara jätkas ühenduse loomist isegi pärast 120 ebaõnnestunud katset.

Beep Malware on tugevalt keskendunud avastamata jäämisele

Pahavara Beep on tuntud oma mitmete kõrvalehoidmistehnikate poolest, mida on rakendatud kogu selle täitmisvoo jooksul, mis muudab selle tuvastamise ja analüüsi turbetarkvara ja infoseci teadlaste jaoks keeruliseks. Need tehnikad hõlmavad muu hulgas stringide hägu eemaldamist, süsteemi keele kontrollimist, siluri tuvastamist, VM-i ja liivakastivastaseid meetmeid. Pahavara pihustikomponent rakendab ka mitmeid täiendavaid silumisvastaseid ja tuvastamise ja kõrvalehoidmise tehnikaid. Piiksu keskendumine kõrvalehoidmisele viitab sellele, et see võib olla eelseisev oht, millele tuleb tähelepanu pöörata, hoolimata sellest, et praegu on looduses tegutsemine piiratud.