Một phần mềm độc hại tàng hình mới có tên 'Beep' đã được phát hiện vào tuần trước, có nhiều tính năng để trốn tránh sự phân tích và phát hiện của phần mềm bảo mật.
Phần mềm độc hại được các nhà phân tích tại Minerva phát hiện sau khi một loạt các mẫu được tải lên VirusTotal, một nền tảng trực tuyến để quét tệp và phát hiện nội dung độc hại.
Mặc dù Beep vẫn đang trong quá trình phát triển và thiếu một số tính năng chính, nhưng nó hiện cho phép các tác nhân đe dọa tải xuống và thực thi các tải trọng tiếp theo trên các thiết bị bị xâm nhập từ xa.
Một kẻ đánh cắp thông tin mới đang được hình thành
Beep là phần mềm độc hại đánh cắp thông tin sử dụng ba thành phần riêng biệt: ống nhỏ giọt, ống tiêm và tải trọng.
Trình nhỏ giọt ("big.dll") tạo khóa đăng ký mới với giá trị 'AphroniaHaimavati' chứa tập lệnh PowerShell được mã hóa base64. Tập lệnh PowerShell này được khởi chạy 13 phút một lần bằng cách sử dụng tác vụ theo lịch trình của Windows.
Khi tập lệnh được thực thi, nó sẽ tải xuống dữ liệu và lưu vào một trình tiêm có tên AphroniaHaimavati.dll, sau đó được khởi chạy.
Trình tiêm là thành phần sử dụng một loạt các kỹ thuật chống gỡ lỗi và chống vm để đưa tải trọng vào một quy trình hệ thống hợp pháp ("WWAHost.exe") thông qua quá trình làm rỗng quy trình để tránh bị các công cụ chống vi rút chạy trên máy chủ phát hiện.
Cuối cùng, tải trọng chính cố gắng thu thập dữ liệu từ máy bị xâm nhập, mã hóa và gửi đến C2. Trong quá trình phân tích của Minerva, địa chỉ C2 được mã hóa cứng đã ngoại tuyến, nhưng phần mềm độc hại đã cố gắng kết nối ngay cả sau 120 lần thử không thành công.
Thu thập dữ liệu từ hệ thống bị vi phạm
Bất chấp những hạn chế trong quá trình phân tích phần mềm độc hại, Minerva vẫn có thể xác định các chức năng sau trong mẫu, được kích hoạt bởi các lệnh C2:
Trốn tránh sự phát hiện
Điều làm cho phần mềm độc hại Beep trở nên nổi bật là việc sử dụng nhiều kỹ thuật trong suốt quy trình thực thi của nó để trốn tránh sự phát hiện và phân tích của phần mềm bảo mật và các nhà nghiên cứu.
Những kỹ thuật trốn tránh này được tóm tắt dưới đây:
Giải mã chuỗi
Ngoài những điều trên, thành phần bộ cấy cũng thực hiện các kỹ thuật trốn tránh sau:
Beep là một ví dụ về phần mềm độc hại tập trung chủ yếu vào việc trốn tránh, đã triển khai nhiều cơ chế chống phân tích trước khi hoàn thiện bộ tính năng đầy đủ để đánh cắp dữ liệu và thực thi các lệnh.
Mặc dù hoạt động của nó ngoài tự nhiên vẫn còn hạn chế trong thời điểm hiện tại, Beep có thể là một mối đe dọa sắp tới cần đề phòng.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.