Arriva Beep, un nuovo malware che nulla ha a che vedere con Road Runner

Soprannominato Beep, e progettato per evadere le difese, è in grado di scaricare payloads aggiuntivi sugli hosts compromessi.

Gli autori di Beep non si sono certo risparmiati, implementando tutte le tecniche anti-debug e anti-sandbox che potevano escogitare, una di queste, prevede il ritardo dell’esecuzione attraverso l’uso della funzione API Beep, da cui il nome del malware.

Virus
Immagine | Envato Elements

Architettura

Beep comprende tre componenti, il primo dei quali è un dropper responsabile della creazione di una nuova chiave del Registro di sistema di Windows e dell’esecuzione di uno script PowerShell codificato in Base64.

Lo script PowerShell, dal suo canto, scarica l’injector da un server remoto, dopo aver verificato che non sia sottoposto a debug o avviato in una macchina virtuale, estrae e avvia il payload tramite una tecnica chiamata process hollowing.

Il payload è architettato per raccogliere ed esfiltrare informazioni di sistema ed enumerare i processi in esecuzione. Tra le istruzioni che il malware è in grado di accettare da un server command-and-control (C2), vi sono l’esecuzione di file DLL ed EXE.

Caratteri distintivi

Il reverse engineering del codice, ha rivelato che Beep è ancora nelle sue prime fasi di sviluppo e che presto sarà dotato di nuove incredibili e potenti funzionalità.

Ciò che contraddistingue questo malware, è la sua forte propensione alla furtività, conseguita grazie ad un enorme numero di metodi di evasione del rilevamento, progettati per resistere all’analisi, evitare sandbox e ritardare l’esecuzione.

Una volta che questo malware penetra con successo in un sistema, può facilmente scaricare e diffondere una vasta gamma di strumenti dannosi aggiuntivi, incluso il ransomware, rendendolo estremamente pericoloso.

Consegnato tramite allegati e-mail di spam, Discord o URL OneDrive, si sospetta che il malware sia offerto come servizio per altri attori criminali che cercano di distribuire i propri payload.

Il malware cerca di nascondersi droppando molti file inutilizzati e non validi e memorizzando il codice tra diversi MB di dati di mascheramento.

Hacker
Immagine | Envato Elements

Come può arrivare sui sistemi?

Un malware simile a Beep può infettare il sistema in diversi modi, tra cui:

  • E-mail di phishing: i creatori di malware utilizzano spesso e-mail di phishing per distribuire il codice. Tali e-mail contengono un collegamento o un allegato che, se cliccato, può scaricare e installare il malware sul sistema.
  • Siti Web dannosi: l’accesso a siti Web può anche esporre il sistema a malware. Determinati siti Web contengono script nascosti o malware che possono infettare il sistema ad insaputa dell’utente.
  • Download drive-by: questo tipo di download, si verifica quando il malware viene scaricato e installato automaticamente sul sistema quando si visita un sito Web compromesso. Questo tipo di infezione può verificarsi senza consensi e anche senza necessità di cliccare alcunché.
  • Vulnerabilità del software: per accedere al sistema, il malware può anche sfruttare le vulnerabilità del sistema o del software. Per evitare questo tipo di infezione, è fondamentale eseguire aggiornamenti periodici.
  • Malvertising: riguarda annunci dannosi progettati per generare malware quando si fa clic su di essi. Questi annunci possono essere pubblicati su siti Web legittimi e possono essere difficili da distinguere dagli annunci legittimi.

Beep è solo uno degli ultimi arrivati, gli hacker hanno lanciato da tempo la loro sfida all’industria delle difese. Cosa arriverà domani?

 

Gestione cookie