Investigadores de ciberseguridad han descubierto una nueva pieza de malware evasivo denominado Bip que está diseñado para pasar desapercibido y lanzar cargas útiles adicionales en un host comprometido.
«Parecía que los autores de este malware estaban tratando de implementar tantas técnicas anti-depuración y anti-VM (anti-sandbox) como pudieron encontrar», investigadora de Minerva Labs, Natalie Zargarov. dicho.
«Una de esas técnicas consistía en retrasar la ejecución mediante el uso de la Función API de pitidode ahí el nombre del malware».
Beep consta de tres componentes, el primero de los cuales es un cuentagotas que es responsable de crear una nueva clave del Registro de Windows y ejecutar un script de PowerShell codificado en Base64 almacenado en él.
El script de PowerShell, por su parte, llega a un servidor remoto para recuperar un inyector, que, después de confirmar que no se está depurando o ejecutando en una máquina virtual, extrae y lanza el payload a través de una técnica llamada proceso de vaciado.
La carga útil es un ladrón de información que está equipado para recopilar y extraer información del sistema y enumerar los procesos en ejecución. Otras instrucciones que el malware es capaz de aceptar desde un servidor de comando y control (C2) incluyen la capacidad de ejecutar archivos DLL y EXE.
Aún no se han implementado otras características, lo que sugiere que Beep aún se encuentra en sus primeras etapas de desarrollo.
Lo que distingue al malware emergente es su fuerte enfoque en el sigilo, adoptando una gran cantidad de métodos de evasión de detección en un intento de resistir el análisis, evitar los entornos limitados y retrasar la ejecución.
«Una vez que este malware penetra con éxito en un sistema, puede descargar y propagar fácilmente una amplia gama de herramientas maliciosas adicionales, incluido el ransomware, lo que lo hace extremadamente peligroso», señaló Zargarov.
Los hallazgos se producen cuando el proveedor de antivirus Avast reveló detalles de otra cepa de cuentagotas con nombre en código AgujaCuentagotas que se ha utilizado para distribuir diferentes familias de malware desde octubre de 2022.
Entregado a través de archivos adjuntos de correo electrónico no deseado, Discord o URL de OneDrive, se sospecha que el malware se ofrece como un servicio para otros actores criminales que buscan distribuir sus propias cargas útiles.
«El malware intenta ocultarse dejando caer muchos archivos inválidos no utilizados y almacena datos importantes entre varios MB de datos sin importancia, y también utiliza aplicaciones legítimas para realizar su ejecución», dijo la empresa. dicho.