Beep Malware

Onderzoekers op het gebied van cyberbeveiliging hebben bedreigende software ontdekt die wordt gevolgd als 'Beep'. Deze malware is ontworpen met een breed scala aan functies waardoor deze zeer goed bestand is tegen detectie en analyse door beveiligingssoftware. Ondanks dat het zich in de ontwikkelingsfase bevindt en bepaalde essentiële componenten mist, heeft de Beep-malware de mogelijkheid om bedreigingsactoren in staat te stellen op afstand extra payloads te downloaden en uit te voeren op apparaten die het met succes heeft gecompromitteerd. Details over de dreiging werden vrijgegeven in een rapport dat werd gepubliceerd door infosec-experts.

Dit maakt Beep tot een zeer zorgwekkende bedreiging voor organisaties en individuen, omdat het aanvallers mogelijk ongeoorloofde toegang tot gevoelige informatie en controle over de getroffen apparaten kan geven. Individuen en organisaties moeten hun beveiligingssoftware up-to-date houden en waakzaam zijn voor tekenen van verdachte activiteit op hun apparaten om dergelijke malware-aanvallen te voorkomen.

De Beep-malware kan een aanzienlijk gevaar vormen voor gerichte slachtoffers

Beep is ontworpen om gevoelige informatie van het gecompromitteerde apparaat te verzamelen. Het bestaat uit drie hoofdcomponenten: een druppelaar, een injector en de lading.

De dropper, ook bekend als 'big.dll', maakt een nieuwe registersleutel met een specifieke waarde genaamd AphroniaHaimavati.' Deze waarde bevat een PowerShell-script dat is gecodeerd in de base64-indeling. Het PowerShell-script wordt elke 13 minuten gestart door een geplande taak op het apparaat.

Wanneer het script wordt uitgevoerd, downloadt het gegevens en slaat het op in een injector genaamd AphroniaHaimavati.dll. De injector is verantwoordelijk voor het gebruik van verschillende anti-debugging en anti-vm (virtualisatie) technieken om de payload te injecteren in een legitiem systeemproces genaamd 'WWAHost.exe'. Dit wordt gedaan via een proces dat process hollowing wordt genoemd en dat helpt om detectie door beveiligingstools die op de host draaien te omzeilen.

De primaire payload is verantwoordelijk voor het verzamelen van gegevens van het gecompromitteerde apparaat en het versleutelen ervan. Vervolgens probeert het de gecodeerde gegevens naar de command and control-server (C2) te sturen die hard gecodeerd was. Tijdens de analyse was het hardgecodeerde C2-adres offline, maar de malware bleef verbinding proberen te maken, zelfs na 120 mislukte pogingen.

De Beep-malware is sterk gericht op onopgemerkt blijven

De Beep-malware staat bekend om zijn meerdere ontwijkingstechnieken die tijdens de hele uitvoeringsstroom zijn geïmplementeerd, waardoor detectie en analyse door beveiligingssoftware en infosec-onderzoekers moeilijk wordt. Deze technieken omvatten onder andere stringdeobfuscatie, systeemtaalcontrole, debuggerdetectie, anti-VM- en anti-sandboxmaatregelen. De injectorcomponent van de malware implementeert ook verschillende aanvullende anti-debugging- en detectie-ontduikingstechnieken. Beep's focus op ontduiking geeft aan dat het een opkomende dreiging kan zijn om op te letten, ondanks zijn beperkte activiteiten in het wild op dit moment.