15 Şubat 2023Ravie LakshmananTehdit Algılama / Kötü Amaçlı Yazılım

Siber güvenlik araştırmacıları, yeni bir kaçamak amaçlı kötü amaçlı yazılım parçası ortaya çıkardı. bip sesi radarın altında uçmak ve ele geçirilmiş bir ana bilgisayara ek yükler bırakmak için tasarlanmıştır.

Minerva Labs araştırmacısı Natalie Zargarov, “Bu kötü amaçlı yazılımın yazarları, bulabildiği kadar çok hata ayıklama önleme ve VM önleme (korumalı alan önleme) tekniği uygulamaya çalışıyor gibiydi.” söz konusu.

“Böyle bir teknik, kullanımı yoluyla yürütmeyi geciktirmeyi içeriyordu. Bip API işlevidolayısıyla kötü amaçlı yazılımın adı.”

Beep, üç bileşenden oluşur; bunlardan ilki, yeni bir Windows Kayıt defteri anahtarı oluşturmaktan ve içinde depolanan Base64 kodlu bir PowerShell betiğini yürütmekten sorumlu olan bir damlalıktır.

PowerShell betiği, kendi adına, bir enjektörü almak için uzak bir sunucuya ulaşır; bu, hata ayıklamasının yapılmadığını veya sanal bir makinede başlatılmadığını onayladıktan sonra, adı verilen bir teknik aracılığıyla yükü ayıklar ve başlatır. süreç oyuk.

Yük, sistem bilgilerini toplayıp sızdırmak ve çalışan işlemleri numaralandırmak için donatılmış bir bilgi hırsızıdır. Kötü amaçlı yazılımın bir komut ve kontrol (C2) sunucusundan kabul edebildiği diğer talimatlar arasında DLL ve EXE dosyalarını çalıştırma yeteneği yer alır.

Kaçamak Kötü Amaçlı Yazılım

Bir dizi başka özellik henüz uygulanmadı, bu da Beep’in hala geliştirmenin ilk aşamalarında olduğunu gösteriyor.

Ortaya çıkan kötü amaçlı yazılımı diğerlerinden ayıran şey, gizliliğe yoğun bir şekilde odaklanması ve çok sayıda algılama kaçırma yöntemleri analize direnmek, korumalı alanlardan kaçınmak ve yürütmeyi geciktirmek amacıyla.

Zargarov, “Bu kötü amaçlı yazılım bir sisteme başarılı bir şekilde girdiğinde, fidye yazılımı da dahil olmak üzere çok çeşitli ek kötü amaçlı araçları kolayca indirip yayabilir ve bu da onu son derece tehlikeli hale getirir.”

Bulgular, antivirüs satıcısı Avast’ın kod adlı başka bir damlalık türünün ayrıntılarını ortaya çıkarmasıyla geldi. iğne damlalığı Ekim 2022’den beri farklı kötü amaçlı yazılım ailelerini dağıtmak için kullanılıyor.

İstenmeyen e-posta ekleri, Discord veya OneDrive URL’leri aracılığıyla iletilen kötü amaçlı yazılımın, kendi yüklerini dağıtmak isteyen diğer suç aktörlerine bir hizmet olarak sunulduğundan şüpheleniliyor.

Şirket, “Kötü amaçlı yazılım, birçok kullanılmayan, geçersiz dosyayı bırakarak kendini gizlemeye çalışır ve önemli verileri birkaç MB önemsiz veri arasında depolar ve ayrıca yürütmesini gerçekleştirmek için yasal uygulamaları kullanır.” söz konusu.



siber-2