Siber güvenlik araştırmacıları, yeni bir kaçamak amaçlı kötü amaçlı yazılım parçası ortaya çıkardı. bip sesi radarın altında uçmak ve ele geçirilmiş bir ana bilgisayara ek yükler bırakmak için tasarlanmıştır.
Minerva Labs araştırmacısı Natalie Zargarov, “Bu kötü amaçlı yazılımın yazarları, bulabildiği kadar çok hata ayıklama önleme ve VM önleme (korumalı alan önleme) tekniği uygulamaya çalışıyor gibiydi” dedi.
“Böyle bir teknik, Beep API işlevi kullanılarak yürütmenin geciktirilmesini içeriyordu, dolayısıyla kötü amaçlı yazılımın adı da buradan geliyordu.”
Beep, üç bileşenden oluşur; bunlardan ilki, yeni bir Windows Kayıt Defteri anahtarı oluşturmaktan ve içinde depolanan Base64 kodlu bir PowerShell betiğini yürütmekten sorumlu olan bir damlalıktır.
PowerShell betiği, kendi adına, bir enjektörü almak için uzak bir sunucuya ulaşır; bu, hata ayıklamasının yapılmadığını veya sanal bir makinede başlatılmadığını onayladıktan sonra, işlemi boşaltma adı verilen bir teknikle yükü ayıklar ve başlatır.
Yük, sistem bilgilerini toplayıp sızdırmak ve çalışan işlemleri numaralandırmak için donatılmış bir bilgi hırsızıdır. Kötü amaçlı yazılımın bir komut ve kontrol (C2) sunucusundan kabul edebildiği diğer talimatlar arasında DLL ve EXE dosyalarını çalıştırma yeteneği yer alır.
Bir dizi başka özellik henüz uygulanmadı, bu da Beep’in hala geliştirmenin ilk aşamalarında olduğunu gösteriyor.
Ortaya çıkan kötü amaçlı yazılımı diğerlerinden ayıran şey, analize direnmek, korumalı alanlardan kaçınmak ve yürütmeyi geciktirmek amacıyla çok sayıda tespitten kaçınma yöntemini benimseyen yoğun bir şekilde gizliliğe odaklanmasıdır.
Zargarov, “Bu kötü amaçlı yazılım bir sisteme başarılı bir şekilde girdiğinde, fidye yazılımı da dahil olmak üzere çok çeşitli ek kötü amaçlı araçları kolayca indirip yayabilir ve bu da onu son derece tehlikeli hale getirir.”
Bulgular, antivirüs satıcısı Avast’ın kod adlı başka bir damlalık türünün ayrıntılarını ortaya çıkarmasıyla geldi. iğne damlalığı Ekim 2022’den beri farklı kötü amaçlı yazılım ailelerini dağıtmak için kullanılıyor.
İstenmeyen e-posta ekleri, Discord veya OneDrive URL’leri aracılığıyla iletilen kötü amaçlı yazılımın, kendi yüklerini dağıtmak isteyen diğer suç aktörlerine bir hizmet olarak sunulduğundan şüpheleniliyor.
Şirket, “Kötü amaçlı yazılım, birçok kullanılmayan, geçersiz dosyayı bırakarak kendini gizlemeye çalışır ve önemli verileri birkaç MB önemsiz veri arasında depolar ve ayrıca yürütmesini gerçekleştirmek için meşru uygulamaları kullanır” dedi.