Beep Malware

Analitycy cyberbezpieczeństwa odkryli groźne oprogramowanie, które jest śledzone jako „Beep”. To złośliwe oprogramowanie zostało zaprojektowane z szeroką gamą funkcji, które sprawiają, że jest wysoce odporne na wykrycie i analizę przez oprogramowanie zabezpieczające. Pomimo tego, że znajduje się w fazie rozwoju i nie posiada pewnych niezbędnych komponentów, złośliwe oprogramowanie Beep ma możliwość umożliwienia cyberprzestępcom zdalnego pobierania i uruchamiania dodatkowych ładunków na urządzeniach, które udało mu się zhakować. Szczegóły dotyczące zagrożenia zostały ujawnione w raporcie opublikowanym przez ekspertów infosec.

To sprawia, że Beep jest bardzo niepokojącym zagrożeniem dla organizacji i osób prywatnych, ponieważ może potencjalnie zapewnić atakującym nieautoryzowany dostęp do poufnych informacji i kontrolę nad zagrożonymi urządzeniami. Osoby i organizacje powinny aktualizować swoje oprogramowanie zabezpieczające i zwracać uwagę na wszelkie oznaki podejrzanej aktywności na swoich urządzeniach, aby zapobiec takim atakom złośliwego oprogramowania.

Złośliwe oprogramowanie Beep może stanowić poważne zagrożenie dla wybranych ofiar

Sygnał dźwiękowy ma na celu zbieranie poufnych informacji z zaatakowanego urządzenia. Składa się z trzech głównych elementów: zakraplacza, wtryskiwacza i ładunku.

Dropper, znany również jako „big.dll”, tworzy nowy klucz rejestru z określoną wartością o nazwie AphroniaHaimavati. Ta wartość zawiera skrypt programu PowerShell zakodowany w formacie base64. Skrypt PowerShell jest uruchamiany przez zaplanowane zadanie na urządzeniu co 13 minut.

Po uruchomieniu skrypt pobiera dane i zapisuje je we wtryskiwaczu o nazwie AphroniaHaimavati.dll. Iniektor jest odpowiedzialny za używanie różnych technik anty-debugowania i anty-vm (wirtualizacji) w celu wstrzyknięcia ładunku do legalnego procesu systemowego o nazwie „WWAHost.exe”. Odbywa się to poprzez proces zwany drążeniem procesów, który pomaga uniknąć wykrycia przez narzędzia bezpieczeństwa działające na hoście.

Podstawowy ładunek jest odpowiedzialny za zbieranie danych z zaatakowanego urządzenia i ich szyfrowanie. Następnie próbuje wysłać zaszyfrowane dane do serwera dowodzenia i kontroli (C2), który został zakodowany na stałe. Podczas analizy zakodowany na stałe adres C2 był w trybie offline, ale złośliwe oprogramowanie nadal próbowało nawiązać połączenie, nawet po 120 nieudanych próbach.

Beep Złośliwe oprogramowanie jest mocno skoncentrowane na pozostaniu niewykrytym

Szkodliwe oprogramowanie Beep znane jest z wielu technik unikania ataków, które są stosowane w całym procesie wykonywania, co utrudnia wykrywanie i analizę przez oprogramowanie zabezpieczające i badaczy zajmujących się ochroną danych. Techniki te obejmują między innymi odciemnianie ciągów znaków, sprawdzanie języka systemu, wykrywanie debuggera, środki anty-VM i anty-piaskownica. Komponent iniektora złośliwego oprogramowania implementuje również kilka dodatkowych technik zapobiegających debugowaniu i unikaniu wykrywania. Skupienie się Beepa na unikaniu wskazuje, że może to być nadchodzące zagrożenie, na które należy uważać, pomimo jego obecnie ograniczonych działań na wolności.