Beep Malware

A kiberbiztonsági kutatók egy fenyegető szoftvert fedeztek fel, amelyet „Beep” néven követnek. Ezt a rosszindulatú programot számos funkcióval tervezték, amelyek rendkívül ellenállóvá teszik a biztonsági szoftverek általi észleléssel és elemzéssel szemben. Annak ellenére, hogy fejlesztési fázisban van, és nem tartalmaz bizonyos alapvető összetevőket, a Beep malware képes lehetővé tenni a fenyegetés szereplői számára, hogy távolról töltsenek le és hajtsanak végre további hasznos adatokat azokon az eszközökön, amelyeket sikeresen feltört. A fenyegetés részleteit az infosec szakértői által közzétett jelentésben hozták nyilvánosságra.

Emiatt a Beep rendkívül aggasztó fenyegetést jelent a szervezetek és az egyének számára, mivel potenciálisan jogosulatlan hozzáférést biztosíthat a támadók számára érzékeny információkhoz és ellenőrzést az érintett eszközök felett. Az ilyen rosszindulatú támadások megelőzése érdekében az egyéneknek és a szervezeteknek naprakészen kell tartaniuk biztonsági szoftvereiket, és ügyelniük kell minden gyanús tevékenység jelére eszközeiken.

A Beep malware jelentős veszélyt jelenthet a célzott áldozatokra

A hangjelzés célja, hogy bizalmas információkat gyűjtsön a feltört eszközről. Három fő részből áll: egy cseppentőből, egy injektorból és a hasznos teherből.

A „big.dll” néven is ismert dropper egy új beállításkulcsot hoz létre egy adott értékkel, AphroniaHaimavati néven. Ez az érték egy PowerShell-szkriptet tartalmaz, amely base64 formátumban van kódolva. A PowerShell-szkriptet egy ütemezett feladat indítja el az eszközön 13 percenként.

Amikor a szkript fut, letölti az adatokat, és elmenti az AphroniaHaimavati.dll nevű injektorba. Az injektor felelős azért, hogy különféle hibakeresés- és VM-ellenes (virtualizációs) technikákat használjon, hogy a hasznos terhelést a „WWAHost.exe” nevű legitim rendszerfolyamatba injektálja. Ez a folyamatürítésnek nevezett folyamaton keresztül történik, amely segít elkerülni a gazdagépen futó biztonsági eszközök észlelését.

Az elsődleges rakomány felelős az adatgyűjtésért a feltört eszközről és annak titkosításáért. Ezután megpróbálja elküldeni a titkosított adatokat a merevkódolt parancs- és vezérlőkiszolgálónak (C2). Az elemzés során a keménykódolt C2-cím offline volt, de a kártevő továbbra is próbálkozott a csatlakozással, még 120 sikertelen próbálkozás után is.

A Beep malware nagy hangsúlyt fektet az észleletlenségre

A Beep malware a végrehajtási folyamata során alkalmazott többszörös kijátszási technikájáról ismert, ami megnehezíti a biztonsági szoftverek és az infosec-kutatók észlelését és elemzését. Ezek a technikák többek között tartalmazzák a karakterlánc-deobfuszkálást, a rendszernyelv-ellenőrzést, a hibakereső-észlelést, a virtuálisgép- és a homokozó-ellenes intézkedéseket. A rosszindulatú program befecskendező komponense számos további hibaelhárítási és észlelési-elkerülési technikát is megvalósít. Az, hogy Beep az adókijátszásra összpontosít, azt jelzi, hogy ez egy közelgő fenyegetés lehet, amelyre figyelni kell, annak ellenére, hogy jelenleg korlátozott a vadonban végzett műveletei.