Beep Malware

Istraživači kibernetičke sigurnosti otkrili su prijeteći softver koji se prati kao 'Beep'. Ovaj zlonamjerni softver dizajniran je sa širokim rasponom značajki koje ga čine vrlo otpornim na otkrivanje i analizu od strane sigurnosnog softvera. Unatoč tome što je u fazi razvoja i nedostaju mu određene bitne komponente, zlonamjerni softver Beep ima mogućnost dopustiti akterima prijetnji daljinsko preuzimanje i izvršavanje dodatnih korisnih opterećenja na uređajima koje je uspješno kompromitirao. Pojedinosti o prijetnji objavljene su u izvješću koje su objavili stručnjaci za infosec.

Zbog toga je Beep vrlo zabrinjavajuća prijetnja za organizacije i pojedince, budući da napadačima potencijalno može omogućiti neovlašteni pristup osjetljivim informacijama i kontrolu nad pogođenim uređajima. Pojedinci i organizacije trebaju održavati svoj sigurnosni softver ažurnim i biti oprezni zbog bilo kakvih znakova sumnjive aktivnosti na svojim uređajima kako bi spriječili takve napade zlonamjernog softvera.

Zlonamjerni softver Beep može predstavljati značajnu opasnost za ciljane žrtve

Zvučni signal je dizajniran za prikupljanje osjetljivih informacija s ugroženog uređaja. Sastoji se od tri glavne komponente: kapaljke, injektora i korisnog tereta.

Kapalica, također poznata kao 'big.dll', stvara novi ključ registra s određenom vrijednošću pod nazivom AphroniaHaimavati.' Ova vrijednost sadrži skriptu PowerShell koja je kodirana u formatu base64. Skriptu PowerShell pokreće planirani zadatak na uređaju svakih 13 minuta.

Kada se skripta pokrene, ona preuzima podatke i sprema ih u injektor pod nazivom AphroniaHaimavati.dll. Injektor je odgovoran za korištenje raznih anti-debugging i anti-vm (virtualizacija) tehnika za ubacivanje korisnog tereta u legitiman sistemski proces pod nazivom "WWAHost.exe". To se radi kroz proces koji se naziva proces hollowing, koji pomaže u izbjegavanju otkrivanja sigurnosnih alata koji se izvode na glavnom računalu.

Primarni korisni teret odgovoran je za prikupljanje podataka s kompromitiranog uređaja i njihovo šifriranje. Zatim pokušava poslati šifrirane podatke poslužitelju za upravljanje i kontrolu (C2) koji je tvrdo kodiran. Tijekom analize, tvrdo kodirana C2 adresa bila je izvan mreže, ali je zlonamjerni softver nastavio pokušavati povezivanje, čak i nakon 120 neuspjelih pokušaja.

Zlonamjerni softver Beep uvelike je usmjeren na to da ostane neotkriven

Zlonamjerni softver Beep poznat je po svojim višestrukim tehnikama izbjegavanja implementiranim tijekom njegovog tijeka izvršenja, što otežava otkrivanje i analizu istraživačima sigurnosnog softvera i infoseca. Ove tehnike između ostalog uključuju demaskiranje niza, provjeru jezika sustava, otkrivanje programa za ispravljanje pogrešaka, anti-VM i anti-sandbox mjere. Komponenta injektora zlonamjernog softvera također implementira nekoliko dodatnih tehnika protiv otklanjanja pogrešaka i izbjegavanja otkrivanja. Fokus Beepa na izbjegavanje ukazuje na to da bi to mogla biti nadolazeća prijetnja na koju treba paziti, unatoč ograničenim operacijama u divljini u ovom trenutku.