I ricercatori dei Minerva Labs hanno scoperto un nuovo malware denominato Beep, analizzando i campioni caricati su VirusTotal. Si tratta di un info-stealer che usa tre componenti separati per rubare i dati dal computer. È ancora in sviluppo, ma il codice rivela diversi metodi di offuscamento che gli autori hanno implementato per aggirare l’analisi e le soluzioni di sicurezza.
Beep: nuovo malware con capacità stealth
Il nome scelto dagli esperti dei Minerva Labs deriva dalla funzione usata per l’esecuzione ritardata. Come detto, Beep ha tre componenti separati: dropper, injector e payload. Il dropper (big.dll
) crea una nuova chiave nel registro di Windows con un valore che contiene uno script PowerShell, lanciato ogni 13 minuti attraverso un’attività pianificata.
Quando eseguito, lo script scarica il secondo componente (injector) AphroniaHaimavati.dll
che inietta il payload finale (terzo componente) nel processo WWAHost.exe
(Windows Wrap-Around Metro App Host), sfruttando la tecnica nota come Process Hollowing per aggirare gli ambienti virtuali o di debugging e gli antivirus.
Beep raccoglie diverse informazioni dal computer che vengono successivamente inviate al server C&C (command and control) in forma cifrata. Il server remoto invia i comandi al malware (non tutti implementati) che permettono di eseguire varie attività. I cybercriminali hanno utilizzato numerose tecniche di evasione, tra cui l’offuscamento del codice. Come detto, Beep è ancora in fase di sviluppo, ma diventerà sicuramente uno dei malware più pericolosi.