Beep: nuovo info-stealer molto evasivo

Beep: nuovo info-stealer molto evasivo

Nelle ultime settimane è apparso un nuovo malware, denominato Beep, che può rubare diversi dati personali evitando di essere rilevato dagli antivirus.
Nelle ultime settimane è apparso un nuovo malware, denominato Beep, che può rubare diversi dati personali evitando di essere rilevato dagli antivirus.

I ricercatori dei Minerva Labs hanno scoperto un nuovo malware denominato Beep, analizzando i campioni caricati su VirusTotal. Si tratta di un info-stealer che usa tre componenti separati per rubare i dati dal computer. È ancora in sviluppo, ma il codice rivela diversi metodi di offuscamento che gli autori hanno implementato per aggirare l’analisi e le soluzioni di sicurezza.

Beep: nuovo malware con capacità stealth

Il nome scelto dagli esperti dei Minerva Labs deriva dalla funzione usata per l’esecuzione ritardata. Come detto, Beep ha tre componenti separati: dropper, injector e payload. Il dropper (big.dll) crea una nuova chiave nel registro di Windows con un valore che contiene uno script PowerShell, lanciato ogni 13 minuti attraverso un’attività pianificata.

Quando eseguito, lo script scarica il secondo componente (injector) AphroniaHaimavati.dll che inietta il payload finale (terzo componente) nel processo WWAHost.exe (Windows Wrap-Around Metro App Host), sfruttando la tecnica nota come Process Hollowing per aggirare gli ambienti virtuali o di debugging e gli antivirus.

Beep raccoglie diverse informazioni dal computer che vengono successivamente inviate al server C&C (command and control) in forma cifrata. Il server remoto invia i comandi al malware (non tutti implementati) che permettono di eseguire varie attività. I cybercriminali hanno utilizzato numerose tecniche di evasione, tra cui l’offuscamento del codice. Come detto, Beep è ancora in fase di sviluppo, ma diventerà sicuramente uno dei malware più pericolosi.

Questo articolo contiene link di affiliazione: acquisti o ordini effettuati tramite tali link permetteranno al nostro sito di ricevere una commissione. Le offerte potrebbero subire variazioni di prezzo dopo la pubblicazione.

Fonte: Minerva Labs
Link copiato negli appunti

Ti potrebbe interessare

Pubblicato il 14 feb 2023
Link copiato negli appunti