Geçen hafta 'Bip' adlı yeni bir gizli kötü amaçlı yazılım keşfedildi ve güvenlik yazılımı tarafından analiz ve tespit etmek için birçok özelliğe sahip.
Kötü amaçlı yazılım, dosya taraması ve kötü niyetli içerik algılama için çevrimiçi bir platform olan Virustotal'a bir örnek telaş yüklendikten sonra Minerva'daki analistler tarafından keşfedildi.
Bip hala geliştirilmekte ve birkaç temel özellik eksik olsa da, şu anda tehdit aktörlerinin güvenliği ihlal edilmiş cihazlarda daha fazla yükü indirmesine ve yürütmesine izin vermektedir.
Bip, üç ayrı bileşen kullanan bir bilgi çalma kötü amaçlı yazılımdır: bir damlalık, bir enjektör ve yük.
Droper ("Big.dll"), Base64 kodlu bir PowerShell komut dosyası içeren bir 'AphroniAhaimavati' değeri ile yeni bir kayıt defteri anahtarı oluşturur. Bu PowerShell betiği, Windows planlanan bir görev kullanılarak her 13 dakikada bir başlatılır.
Komut dosyası yürütüldüğünde, veri indirir ve daha sonra başlatılan AphroniHaimavati.dll adlı bir enjektöre kaydeder.
Enjektör, konakçı üzerinde çalışan anti-virüs araçlarından algılamadan kaçınmak için işlem oyma yoluyla yükü meşru bir sistem sürecine ("wwahost.exe") enjekte etmek için bir dizi anti-anti-anti-VM tekniği kullanan bileşendir.
Son olarak, birincil yük, tehlikeye atılan makineden veri toplamaya, şifrelemeye ve C2'ye göndermeye çalışır. Minerva'nın analizi sırasında, sabit kodlanmış C2 adresi çevrimdışı oldu, ancak kötü amaçlı yazılım 120 başarısız denemeden sonra bile bağlantılar kurdu.
Kötü amaçlı yazılımların analizindeki sınırlamalara rağmen, Minerva, C2 komutları tarafından tetiklenen numunedeki aşağıdaki işlevleri hala tanımlayabildi:
Bip kötü amaçlı yazılımları öne çıkaran şey, güvenlik yazılımı ve araştırmacılar tarafından tespit ve analizden kaçmak için yürütme akışı boyunca birden fazla teknik kullanmasıdır.
Bu kaçırma teknikleri aşağıda özetlenmiştir:
Yukarıdakilere ek olarak, enjektör bileşeni de aşağıdaki kaçırma tekniklerini uygular:
Bip, veri hırsızlığı ve komutların yürütülmesi için tam özellik kümesini sonuçlandırmadan önce birden fazla anti-analiz mekanizması uygulayan, kaçınmaya odaklanan kötü amaçlı yazılım örneğidir.
Vahşi operasyonları şimdilik sınırlı kalsa da, bip sesi çıkacak bir tehdit olabilir.
Ahududu Robin Solucan Damlalar Araştırmacıları karıştırmak için sahte kötü amaçlı yazılım
Redeyes hacker'ları Windows, telefonlardan veri çalmak için yeni kötü amaçlı yazılım kullanıyor
Yeni Pano Koruma Kripto Cüzdan Adreslerinin yerini Lookalikes ile değiştiriyor
Kötü amaçlı PYPI paketlerinde W4SP Stealer kötü amaçlı yazılım tarafından hedeflenen geliştiriciler
Bilgi Çalma Kötü Yazılımları ile Hacker Bombardı PYPI Platformu
Kaynak: Bleeping Computer