Beep Malware

Дослідники з кібербезпеки виявили загрозливе програмне забезпечення, яке відстежується як «Beep». Це зловмисне програмне забезпечення було розроблено з широким набором функцій, які роблять його надзвичайно стійким до виявлення та аналізу програмним забезпеченням безпеки. Незважаючи на те, що зловмисне програмне забезпечення Beep перебуває на стадії розробки та не має певних важливих компонентів, воно має здатність дозволяти зловмисникам віддалено завантажувати та виконувати додаткові корисні навантаження на пристроях, які воно успішно скомпрометувало. Подробиці про загрозу були опубліковані в звіті, опублікованому експертами Infosec.

Це робить Beep дуже серйозною загрозою для організацій і окремих осіб, оскільки потенційно може надати зловмисникам несанкціонований доступ до конфіденційної інформації та контролювати уражені пристрої. Окремі особи та організації повинні постійно оновлювати своє програмне забезпечення безпеки та бути пильними щодо будь-яких ознак підозрілої активності на своїх пристроях, щоб запобігти таким атакам зловмисного програмного забезпечення.

Зловмисне програмне забезпечення Beep може становити значну небезпеку для цільових жертв

Звуковий сигнал призначений для збору конфіденційної інформації зі зламаного пристрою. Він складається з трьох основних компонентів: крапельниці, інжектора та корисного навантаження.

Дроппер, також відомий як «big.dll», створює новий ключ реєстру з певним значенням під назвою AphroniaHaimavati. Це значення містить сценарій PowerShell, закодований у форматі base64. Сценарій PowerShell запускається запланованим завданням на пристрої кожні 13 хвилин.

Коли скрипт виконується, він завантажує дані та зберігає їх у інжекторі AphroniaHaimavati.dll. Інжектор відповідає за використання різних методів захисту від налагодження та захисту віртуальної машини (віртуалізації) для введення корисного навантаження в законний системний процес під назвою «WWAHost.exe». Це робиться за допомогою процесу під назвою процес hollowing, який допомагає уникнути виявлення інструментами безпеки, що працюють на хості.

Основне корисне навантаження відповідає за збір даних зі зламаного пристрою та їх шифрування. Потім він намагається надіслати зашифровані дані на сервер керування (C2), який був жорстко закодований. Під час аналізу жорстко закодована адреса C2 була офлайн, але зловмисне програмне забезпечення продовжувало намагатися підключитися навіть після 120 невдалих спроб.

Зловмисне програмне забезпечення Beep сильно зосереджено на тому, щоб залишатися непоміченим

Зловмисне програмне забезпечення Beep відоме своїми численними методами ухилення, реалізованими протягом усього процесу виконання, що ускладнює виявлення та аналіз програмним забезпеченням безпеки та дослідниками інформаційної безпеки. Ці методи включають деобфускацію рядка, перевірку мови системи, виявлення налагоджувача, засоби захисту від віртуальної машини та пісочниці, серед інших. Компонент інжектора зловмисного програмного забезпечення також реалізує кілька додаткових методів захисту від налагодження та ухилення від виявлення. Зосередженість Beep на ухиленні вказує на те, що це може бути майбутня загроза, якої слід остерігатися, незважаючи на його обмежені операції в дикій природі на даний момент.