Novo malware furtivo chamado Beep dispõe de muitos recursos para evitar a análise e detecção

microsoft-mitiga-ataque-do-ator-chines-storm-0558-que-visava-e-mails-de-clientes

Pesquisadores descobriram, na semana passada, um novo malware furtivo chamado Beep. Esse malware apresenta muitos recursos para evitar a análise e detecção por software de segurança e é mais uma ameaça cibernética.

Malware Beep

O malware Beep foi descoberto por analistas da Minerva depois que inúmeras amostras foram carregada no VirusTotal, uma plataforma online para verificação de arquivos e detecção de conteúdo malicioso. Embora esse malware ainda esteja em desenvolvimento e necessite de vários recursos importantes, atualmente ele permite que os agentes de ameaças baixem e executem outras cargas em dispositivos comprometidos remotamente.

Beep é um malware ladrão de informações que usa três componentes separados: um conta-gotas, um injetor e a carga útil. O conta-gotas (“big.dll”) cria uma nova chave de registro com um valor ‘AphroniaHaimavati’ que contém um script do PowerShell codificado em base64. Esse script do PowerShell é iniciado a cada 13 minutos usando uma tarefa agendada do Windows. Quando o script é executado, ele baixa os dados e os salva em um injetor chamado AphroniaHaimavati.dll, que é iniciado.

O injetor é o componente que usa uma variedade de técnicas antidepuração e anti-vm para injetar a carga útil em um processo de sistema legítimo (“WWAHost.exe”) por meio de esvaziamento de processo para evitar a detecção de ferramentas antivírus em execução no host. Finalmente, a carga primária tenta coletar dados da máquina comprometida, criptografá-los e enviá-los para o C2.

Durante a análise do Minerva, o endereço C2 codificado estava offline, mas o malware tentou fazer conexões mesmo após 120 tentativas malsucedidas. Apesar das limitações na análise do malware, o Minerva ainda conseguiu identificar diversas funções que são acionadas por comandos C2.

novo-malware-furtivo-chamado-beep-dispoe-de-muitos-recursos-para-evitar-a-analise-e-deteccao
Imagem: Reprodução | Bleeping Computer

Fugindo da detecção

O que destaca o malware Beep é o uso de várias técnicas ao longo de seu fluxo de execução para evitar a detecção e análise por software de segurança e pesquisadores.

Estas técnicas de evasão são resumidas em: Desofuscação dinâmica de strings; verificação do idioma do sistema; implementação de assembly da função de API IsDebuggerPresent; Antidepuração do campo NtGlobalFlag; Instrução RDTSC; Stack Segment Register; CPUID anti-vm; Chave de registro VBOX anti-vm e; função Beep API anti-sandbox.

novo-malware-furtivo-chamado-beep-dispoe-de-muitos-recursos-para-evitar-a-analise-e-deteccao
Imagem: Reprodução | Bleeping Computer

O Beep está utilizando muitas técnicas para não ser identificado, o que torna a ameaça ainda maior para as possíveis vítimas desse malware. Lembre-se sempre de implementar os mecanismos de segurança da sua rede, para que esses malwares sejam identificados de alguma forma e você se livre de um possível ataque.