Beep Malware

Natuklasan ng mga mananaliksik sa cybersecurity ang isang nagbabantang software na sinusubaybayan bilang 'Beep.' Ang malware na ito ay idinisenyo na may malawak na hanay ng mga tampok na ginagawa itong lubos na lumalaban sa pagtuklas at pagsusuri ng software ng seguridad. Sa kabila ng nasa yugto ng pag-unlad at kulang sa ilang mahahalagang bahagi, ang Beep malware ay may kakayahang pahintulutan ang mga aktor ng pagbabanta na malayuang mag-download at magsagawa ng mga karagdagang payload sa mga device na matagumpay nitong nakompromiso. Ang mga detalye tungkol sa banta ay inilabas sa isang ulat na inilathala ng mga eksperto sa infosec.

Dahil dito, ang Beep ay isang lubhang nakakabahala na banta para sa mga organisasyon at indibidwal, dahil maaari nitong bigyan ang mga umaatake ng hindi awtorisadong access sa sensitibong impormasyon at kontrol sa mga apektadong device. Dapat panatilihing napapanahon ng mga indibidwal at organisasyon ang kanilang software sa seguridad at maging mapagbantay para sa anumang mga palatandaan ng kahina-hinalang aktibidad sa kanilang mga device upang maiwasan ang mga naturang pag-atake ng malware.

Ang Beep Malware ay maaaring Magdulot ng Malaking Panganib sa Mga Naka-target na Biktima

Ang beep ay idinisenyo upang mangolekta ng sensitibong impormasyon mula sa nakompromisong device. Binubuo ito ng tatlong pangunahing bahagi: isang dropper, isang injector at ang payload.

Ang dropper, na kilala rin bilang 'big.dll,' ay lumilikha ng bagong Registry key na may partikular na halaga na tinatawag na AphroniaHaimavati.' Naglalaman ang value na ito ng PowerShell script na naka-encode sa base64 na format. Ang PowerShell script ay inilulunsad ng isang naka-iskedyul na gawain sa device tuwing 13 minuto.

Kapag tumakbo ang script, nagda-download ito ng data at sine-save ito sa isang injector na tinatawag na AphroniaHaimavati.dll. Ang injector ay may pananagutan sa paggamit ng iba't ibang pamamaraan ng anti-debugging at anti-vm (virtualization) upang ipasok ang payload sa isang lehitimong proseso ng system na tinatawag na 'WWAHost.exe.' Ginagawa ito sa pamamagitan ng isang prosesong tinatawag na process hollowing, na tumutulong upang maiwasan ang pagtuklas mula sa mga tool sa seguridad na tumatakbo sa host.

Ang pangunahing payload ay responsable para sa pagkolekta ng data mula sa nakompromisong device at pag-encrypt nito. Pagkatapos ay sinusubukan nitong ipadala ang naka-encrypt na data sa command at control (C2) server na na-hardcode. Sa panahon ng pagsusuri, offline ang naka-hardcode na C2 address, ngunit patuloy na sinubukan ng malware na kumonekta, kahit na matapos ang 120 nabigong pagsubok.

Ang Beep Malware ay Lubos na Nakatuon sa Nananatiling Hindi Natukoy

Ang Beep malware ay kilala para sa maramihang mga diskarte sa pag-iwas na ipinatupad sa buong daloy ng pagpapatupad nito, na nagpapahirap sa pagtuklas at pagsusuri ng software ng seguridad at mga mananaliksik ng infosec. Kasama sa mga diskarteng ito ang string deobfuscation, system language check, debugger detection, anti-VM at anti-sandbox na mga hakbang, bukod sa iba pa. Ang bahagi ng injector ng malware ay nagpapatupad din ng ilang karagdagang mga diskarte sa anti-debugging at detection-evasion. Ang pagtutok ng Beep sa pag-iwas ay nagpapahiwatig na maaaring ito ay isang paparating na banta na dapat bantayan, sa kabila ng limitadong operasyon nito sa ligaw sa kasalukuyan.