Beep Malware

网络安全研究人员发现了一种被跟踪为“Beep”的威胁软件。该恶意软件的设计具有广泛的功能，使其能够高度抵抗安全软件的检测和分析。尽管处于开发阶段并且缺少某些基本组件，但 Beep 恶意软件能够允许威胁参与者远程下载并在其成功入侵的设备上执行额外的有效载荷。有关该威胁的详细信息已在信息安全专家公布的一份报告中公布。

这使得 Beep 成为组织和个人高度关注的威胁，因为它可能允许攻击者未经授权访问敏感信息并控制受影响的设备。个人和组织应保持其安全软件为最新，并对设备上的任何可疑活动迹象保持警惕，以防止此类恶意软件攻击。

Beep 恶意软件可能对目标受害者构成重大危险

Beep 旨在从受感染的设备中收集敏感信息。它由三个主要组件组成：滴管、注入器和有效载荷。

滴管，也称为“big.dll”，创建一个新的注册表项，其特定值称为 AphroniaHaimavati。此值包含以 base64 格式编码的 PowerShell 脚本。 PowerShell 脚本由设备上的计划任务每 13 分钟启动一次。

当脚本运行时，它会下载数据并将其保存到名为 AphroniaHaimavati.dll 的注入器中。注入器负责使用各种反调试和反 vm（虚拟化）技术将有效负载注入名为“WWAHost.exe”的合法系统进程。这是通过称为进程挖空的过程完成的，该过程有助于逃避主机上运行的安全工具的检测。

主要有效负载负责从受感染的设备收集数据并对其进行加密。然后它尝试将加密数据发送到硬编码的命令和控制 (C2) 服务器。在分析过程中，硬编码的 C2 地址处于离线状态，但恶意软件继续尝试连接，即使在 120 次尝试失败后也是如此。

Beep 恶意软件主要专注于保持未被发现

Beep 恶意软件以其在整个执行流程中实施的多种规避技术而闻名，这使得安全软件和信息安全研究人员难以检测和分析。这些技术包括字符串反混淆、系统语言检查、调试器检测、反虚拟机和反沙盒措施等。恶意软件的注入器组件还实施了几种额外的反调试和检测规避技术。 Beep 对规避的关注表明它可能是即将到来的威胁，尽管目前在野外的行动有限。