I ricercatori dei Minerva Labs hanno scoperto un nuovo malware denominato Beep, un info-stealer che usa tre componenti separati e che implementa numerose tecniche di evasione anti-debug e anti-sandbox per rubare i dati dal computer.
Gli esperti hanno scoperto diversi nuovi campioni simili tra loro e caricati su VirusTotal (VT) sotto forma di file .dll, .gif o .jpg. Sono stati tutti etichettati come “spreader” e “detect-debug-environment” da VT e hanno attirato la loro attenzione perché sembravano rilasciare file, ma quei file non potevano essere recuperati da VT.
Una volta analizzato questo campione, gli esperti hanno osservato l’uso di una quantità significativa di tecniche di evasione. “Sembrava che gli autori di questo malware stessero cercando di implementare tutte le tecniche anti-debug e anti-VM (anti-sandbox) che potevano trovare. Una di queste tecniche prevedeva il ritardo dell’esecuzione attraverso l’uso della funzione Beep API, da cui il nome del malware”, si legge nell’analisi di Minerva.
Beep ha tre componenti separati: dropper, injector e payload. Il dropper (big.dll) crea una nuova chiave nel registro di Windows con un valore che contiene uno script PowerShell, lanciato ogni 13 minuti attraverso un’attività pianificata.
Una volta eseguito, lo script scarica il secondo componente (injector) AphroniaHaimavati.dll che inietta il payload finale (terzo componente) nel processo WWAHost.exe (Windows Wrap-Around Metro App Host), sfruttando la tecnica nota come Process Hollowing per aggirare gli ambienti virtuali o di debugging e gli antivirus.
Beep raccoglie diverse informazioni dal computer che vengono successivamente inviate al server C&C (command and control) in forma cifrata. Il server remoto invia i comandi al malware (non tutti implementati) che permettono di eseguire varie attività.
Il malware Beep implementa diverse tecniche di evasione, che utilizza numerose volte durante l’esecuzione. Queste tecniche includono: deoffuscamento dinamico delle stringhe, controllo della lingua predefinita, implementazione dell’assembly della funzione API IsDebuggerPresent, campo NtGlobalFlag anti-debugging, chiave di registro VBOX anti-vm, funzione Beep API anti-sandbox, anti-debug INT 3 e molte altre ancora al fine di eludere il rilevamento.
Gli esperti hanno sottolineato che una volta che questo malware ha infettato un sistema, può essere utilizzato per diffondere un’ampia gamma di ulteriori payload dannosi, incluso il ransomware.
“Gli sforzi del nuovo malware Beep per eludere il rilevamento lo distinguono dagli altri malware. L’enorme numero di tecniche evasive che implementa per evitare sandbox, VM e altre tecniche di debug non si vede spesso. Una volta che questo malware penetra con successo in un sistema, può facilmente scaricare e diffondere un’ampia gamma di strumenti dannosi aggiuntivi, incluso il ransomware, rendendolo estremamente pericoloso”, conclude l’analisi.
https://minerva-labs.com/blog/beepin-out-of-the-sandbox-analyzing-a-new-extremely-evasive-malware/
https://www.punto-informatico.it/beep-nuovo-info-stealer-molto-evasivo/
