Il nuovo malware stealthy chiamato “Beep” è stato scoperto la scorsa settimana e presenta molte caratteristiche per evitare l’analisi e la rilevazione da parte dei software di sicurezza. Il malware è stato scoperto dagli analisti di Minerva dopo una serie di campioni caricati su VirusTotal, una piattaforma online per la scansione di file e la rilevazione di contenuti dannosi.
Sebbene Beep sia ancora in fase di sviluppo e manchi di diverse funzionalità chiave, attualmente consente agli attori delle minacce di scaricare ed eseguire ulteriori carichi utili sui dispositivi compromessi a distanza.
Beep è un malware di furto di informazioni che utilizza tre componenti separati: un dropper, un injector e il Payload. Il dropper crea una nuova chiave di registro con un valore “AphroniaHaimavati” che contiene uno script PowerShell codificato in base64. Questo script PowerShell viene lanciato ogni 13 minuti utilizzando un’attività pianificata di Windows.
Quando lo script viene eseguito, scarica i dati e li salva in un injector chiamato AphroniaHaimavati.dll, che viene quindi lanciato. L’injector è il componente che utilizza una serie di tecniche anti-debugging e anti-vm per iniettare il payload in un processo di sistema legittimo (“WWAHost.exe”) tramite process hollowing per evitare la rilevazione da parte degli strumenti antivirus in esecuzione sull’host.
Infine, il carico utile primario tenta di raccogliere dati dalla macchina compromessa, criptarli e inviarli al C2. Durante l’analisi di Minerva, l’indirizzo C2 codificato è stato offline, ma il malware ha comunque tentato di connettersi anche dopo 120 tentativi falliti.
Ciò che rende il malware Beep unico è l’uso di molteplici tecniche durante il flusso di esecuzione per evitare la rilevazione e l’analisi da parte dei software di sicurezza e dei ricercatori. Le tecniche di evasione includono la deobfuscation dinamica delle stringhe, il controllo della lingua di sistema, l’implementazione dell’API IsDebuggerPresent in assembly, il RDTSC instruction, il registro VBOX anti-vm e l’utilizzo della funzione API Beep per evitare la rilevazione della sandbox.
Beep è un esempio di malware che si concentra pesantemente sull’evasione, avendo implementato molteplici meccanismi anti-analisi prima di finalizzare la gamma completa di funzionalità per il furto di dati e l’esecuzione di comandi. Anche se le sue operazioni sono ancora limitate per il momento, Beep potrebbe essere una minaccia in aumento da tenere d’occhio.
