Beep-Malware
Cybersicherheitsforscher haben eine bedrohliche Software entdeckt, die als „Beep“ verfolgt wird. Diese Malware wurde mit einer Vielzahl von Funktionen entwickelt, die sie sehr widerstandsfähig gegen die Erkennung und Analyse durch Sicherheitssoftware machen. Obwohl sich die Beep-Malware in der Entwicklungsphase befindet und bestimmte wesentliche Komponenten fehlen, kann sie Angreifern erlauben, zusätzliche Payloads aus der Ferne herunterzuladen und auf Geräten auszuführen, die sie erfolgreich kompromittiert hat. Details über die Bedrohung wurden in einem von Infosec-Experten veröffentlichten Bericht veröffentlicht.
Dies macht Beep zu einer äußerst besorgniserregenden Bedrohung für Organisationen und Einzelpersonen, da es Angreifern möglicherweise unbefugten Zugriff auf vertrauliche Informationen und die Kontrolle über die betroffenen Geräte gewähren kann. Einzelpersonen und Organisationen sollten ihre Sicherheitssoftware auf dem neuesten Stand halten und auf Anzeichen verdächtiger Aktivitäten auf ihren Geräten achten, um solche Malware-Angriffe zu verhindern.
Die Beep-Malware kann eine erhebliche Gefahr für gezielte Opfer darstellen
Beep wurde entwickelt, um vertrauliche Informationen von dem kompromittierten Gerät zu sammeln. Es besteht aus drei Hauptkomponenten: einem Tropfer, einem Injektor und der Nutzlast.
Der Dropper, auch bekannt als „big.dll“, erstellt einen neuen Registrierungsschlüssel mit einem bestimmten Wert namens AphroniaHaimavati.“ Dieser Wert enthält ein PowerShell-Skript, das im Base64-Format codiert ist. Das PowerShell-Skript wird alle 13 Minuten von einer geplanten Aufgabe auf dem Gerät gestartet.
Wenn das Skript ausgeführt wird, lädt es Daten herunter und speichert sie in einem Injektor namens AphroniaHaimavati.dll. Der Injektor ist für die Verwendung verschiedener Anti-Debugging- und Anti-VM-(Virtualisierungs-)Techniken verantwortlich, um die Nutzdaten in einen legitimen Systemprozess namens „WWAHost.exe“ einzufügen. Dies geschieht durch einen Prozess namens Process Hollowing, der dazu beiträgt, der Erkennung durch auf dem Host ausgeführte Sicherheitstools zu entgehen.
Die primäre Nutzlast ist dafür verantwortlich, Daten vom kompromittierten Gerät zu sammeln und zu verschlüsseln. Anschließend versucht er, die verschlüsselten Daten an den fest codierten Command-and-Control-Server (C2) zu senden. Während der Analyse war die hartcodierte C2-Adresse offline, aber die Malware versuchte weiterhin, eine Verbindung herzustellen, selbst nach 120 fehlgeschlagenen Versuchen.
Die Beep-Malware konzentriert sich stark darauf, unentdeckt zu bleiben
Die Beep-Malware ist für ihre zahlreichen Umgehungstechniken bekannt, die während ihres gesamten Ausführungsablaufs implementiert sind, was die Erkennung und Analyse durch Sicherheitssoftware und Infosec-Forscher erschwert. Zu diesen Techniken gehören unter anderem String-Entschleierung, Überprüfung der Systemsprache, Debugger-Erkennung, Anti-VM- und Anti-Sandbox-Maßnahmen. Die Injektorkomponente der Malware implementiert außerdem mehrere zusätzliche Anti-Debugging- und Erkennungsvermeidungstechniken. Der Fokus von Beep auf Umgehung deutet darauf hin, dass es trotz seiner derzeit begrenzten Aktivitäten in freier Wildbahn eine bevorstehende Bedrohung sein könnte, auf die man achten muss.
