Istraživači kibernetičke bezbjednosti otkrili su novi maliciozni softver nazvan Beep koji je dizajniran da prođe ispod radara i ispusti payload na kompromitovani host.
“Činilo se kao da autori ovog malicioznog softvera pokušavaju implementovati što više tehnika za uklanjanje grešaka i anti-VM (anti-sandbox) tehnika” rekla je istraživačica Minerva Labs-a Natalie Zargarov.
“Jedna takva tehnika uključivala je odlaganje izvršenja upotrebom funkcije Beep API, odakle dolazi i naziv malicioznog softvera.”
Beep se sastoji od tri komponente, od kojih je prva dropper koja je odgovorna za kreiranje novog ključa Windows Registry-a i izvršavanje Base64 kodirane PowerShell skripte pohranjene u njemu.
PowerShell skripta, sa svoje strane, poseže do udaljenog servera kako bi dohvatila injektor, koji nakon što potvrdi da nije otklonjen ili pokrenut u virtuelnoj mašini, izdvaja i pokreće payload pomoću tehnike koja se zove proces hollowing.
Payload je alat za krađu informacija koji je opremljen za prikupljanje i eksfiltriranje sistemskih informacija i nabrajanje pokrenutih procesa. Ostale upute koje maliciozni softver može prihvatiti sa servera za naredbu i kontrolu (C2) uključuju mogućnost izvršavanja DLL i EXE datoteka.
Brojne druge karakteristike tek treba da budu implementirane, što sugeriše da je Beep još uvek u ranoj fazi razvoja.
Ono što izdvaja maliciozni softver u nastajanju je njegov veliki fokus na prikrivenost, usvajanje velikog broja metoda za izbjegavanje otkrivanja u pokušaju da se odupre analizi, izbjegne sandbox-ove i odgodi izvršenje.
“Kada ovaj maliciozni softver uspješno prodre u sistem, može lako preuzeti i širiti širok spektar dodatnih malicioznih alata, uključujući ransomware, što ga čini izuzetno opasnim” napomenuo je Zargarov.
Nalazi su došli nakon što je dobavljač antivirusa Avast otkrio detalje o drugom soju droppera kodnog imena NeedleDropper koji se koristi za distribuciju različitih porodica malicioznog softvera od oktobra 2022. godine.
Isporučen putem priloga neželjenog email-a, Discord ili OneDrive URL-a, sumnja se da se maliciozni softver nudi kao usluga za druge hakere koji žele distribuisati vlastitu korist.
“Maliciozni softver pokušava da se sakrije tako što ispušta mnoge neiskorištene, nevažeće datoteke i pohranjuje važne podatke između nekoliko MB nevažnih podataka, a takođe koristi legitimne aplikacije za svoje izvršavanje”, rekla je kompanija.
Izvor: The Hacker News