محققان امنیت سایبری قطعه جدیدی از بدافزار فراری به نام Beep را کشف کردهاند که برای پرواز در زیر رادار و انداختن محمولههای اضافی بر روی یک میزبان در معرض خطر طراحی شده است.
ناتالی زارگاروف، محقق آزمایشگاه Minerva می گوید: «به نظر می رسید که نویسندگان این بدافزار در تلاش هستند تا تکنیک های ضد اشکال زدایی و ضد VM (anti-sandbox) را که می توانند پیدا کنند، پیاده سازی کنند.
یکی از این تکنیکها شامل به تأخیر انداختن اجرا از طریق استفاده از تابع Beep API بود، از این رو نام بدافزار بهوجود آمد.
Beep از سه جزء تشکیل شده است که اولین آن یک قطره چکان است که مسئول ایجاد یک کلید رجیستری جدید ویندوز و اجرای یک اسکریپت PowerShell با کد Base64 است که در آن ذخیره شده است.
اسکریپت PowerShell، به نوبه خود، برای بازیابی یک انژکتور به یک سرور راه دور دسترسی پیدا میکند، که پس از تأیید عدم اشکال زدایی یا راهاندازی آن در ماشین مجازی، از طریق تکنیکی به نام فرآیند حفرهسازی، payload را استخراج و راهاندازی میکند.
محموله یک دزد اطلاعات است که برای جمع آوری و استخراج اطلاعات سیستم و شمارش فرآیندهای در حال اجرا مجهز است. سایر دستورالعملهایی که بدافزار میتواند از سرور فرمان و کنترل (C2) بپذیرد شامل توانایی اجرای فایلهای DLL و EXE است.
تعدادی از ویژگی های دیگر هنوز پیاده سازی نشده اند، که نشان می دهد Beep هنوز در مراحل اولیه توسعه خود است.
چیزی که بدافزار نوظهور را متمایز میکند، تمرکز شدید آن بر پنهانکاری، اتخاذ تعداد زیادی از روشهای فرار از تشخیص در تلاش برای مقاومت در برابر تجزیه و تحلیل، اجتناب از جعبههای شنی و تأخیر در اجرا است.
زرگاروف بيان کرد : هنگامی که این بدافزار با موفقیت به یک سیستم نفوذ کند، میتواند به راحتی طیف گستردهای از ابزارهای مخرب اضافی از جمله باجافزار را دانلود و پخش کند که آن را بسیار خطرناک میکند.
این یافتهها در شرایطی به دست آمد که فروشنده آنتیویروس Avast جزئیات دیگری از سویه قطره چکان با کد NeedleDropper را فاش کرد که از اکتبر 2022 برای توزیع خانوادههای مختلف بدافزار استفاده شده است.
این بدافزار که از طریق پیوستهای ایمیل هرزنامه، Discord یا URLهای OneDrive ارائه میشود، گمان میرود که به عنوان سرویسی برای سایر بازیگران جنایتکار که به دنبال توزیع بارهای خود هستند ارائه شود.
این شرکت او میگوید : «این بدافزار سعی میکند با حذف بسیاری از فایلهای استفاده نشده و نامعتبر خود را پنهان کند و دادههای مهم را بین چندین مگابایت داده بیاهمیت ذخیره کند و همچنین از برنامههای کاربردی قانونی برای اجرای خود استفاده میکند.
ارسال نظر