Beep malware nagyon bonyolultnak bizonyul észlelni
A Beep néven ismert szoftver egyfajta rosszindulatú program, amelyet érzékeny információk ellopására és fertőzések láncolatának előidézésére terveztek. Bár még fejlesztés alatt áll, a Beep rendkívül kitérő, és különféle módszereket alkalmaz az észlelés elkerülésére és az elemzés megelőzésére. Ezek a technikák magukban foglalják az észlelés- és elemzés-ellenőrző funkciókat a biztonsági szoftverek kikerülésére, a hibakeresés megelőzésére, valamint a virtuális gépeken vagy sandbox-környezetekben való indításkor.
A hangjelzés három fő elemből áll, beleértve a cseppentőt, az injektort és a hasznos terhet. A dropper létrehoz egy új rendszerleíró kulcsot, amely tizenhárom percenként elindít egy PowerShell-szkriptet, és a sikeres végrehajtás után az adatokat letölti és elmenti az injektorba, amely ezután elindul. Ezután a hasznos adatot egy érvényes folyamatba injektálják az adatok begyűjtésének megkezdéséhez, amelyeket visszaküldenek a C&C szervernek.
A Minerva Labs elemzése során kiderült, hogy a Beep 120 alkalommal próbált csatlakozni a C&C szerverhez, sikertelenül. Noha egyes funkciói, például a folyamatlista adatgyűjtése és a Shellcode végrehajtása teljesen működőképesek, még mindig van legalább négy implementálatlan funkciója, ami azt jelzi, hogy még fejlesztés alatt áll.
A hangjelzés láncfertőzést okozhat, ami azt jelenti, hogy további rosszindulatú programokat vagy összetevőket, például trójaiakat, ransomware-eket vagy kriptovaluta bányászokat tölthet le és telepíthet a fertőzött eszközökre. A legtöbb rosszindulatú programhoz hasonlóan a Beep jövőbeni iterációi is várhatóan további vagy eltérő funkciókkal fognak rendelkezni, mivel a rosszindulatú programok fejlesztői folyamatosan fejlesztik alkotásaikat.
Hogyan fertőzhetik meg rendszerét a Beep-hez hasonló rosszindulatú programok?
A Beephez hasonló rosszindulatú programok többféle módon is megfertőzhetik a rendszert, többek között:
- Adathalász e-mailek: A rosszindulatú programok készítői gyakran használnak adathalász e-maileket rosszindulatú szoftvereik terjesztésére. Ezek az e-mailek egy hivatkozást vagy mellékletet tartalmaznak, amelyre kattintva letölthető és telepíthető a rosszindulatú program a rendszerére.
- Rosszindulatú webhelyek: A rosszindulatú webhelyek látogatása rosszindulatú programoknak is kiteheti a rendszert. Ezek a webhelyek gyakran tartalmaznak rejtett szkripteket vagy rosszindulatú programokat, amelyek az Ön tudta vagy beleegyezése nélkül megfertőzhetik a rendszert.
- Drive-by letöltések: Drive-by letöltésről akkor beszélünk, ha a rendszer automatikusan letölti és telepíti a rosszindulatú programokat, amikor meglátogat egy feltört webhelyet. Ez a fajta fertőzés az Ön tudta vagy beleegyezése nélkül is megtörténhet, és akkor is előfordulhat, ha nem kattint a weboldalon semmire.
- Szoftver sebezhetősége: A rosszindulatú programok a rendszer vagy a szoftver biztonsági réseit is kihasználhatják, hogy hozzáférjenek a rendszerhez. Az ilyen típusú fertőzések elkerülése érdekében kulcsfontosságú, hogy rendszerét és szoftverét naprakészen tartsa a legújabb biztonsági javításokkal.
- Rosszindulatú hirdetések: A rosszindulatú hirdetések olyan rosszindulatú hirdetéseket tartalmaznak, amelyek kattintáskor rosszindulatú programokat küldenek. Ezek a hirdetések legitim webhelyeken jelenhetnek meg, és nehéz lehet megkülönböztetni a legitim hirdetésektől.
A rosszindulatú programok elleni védelem érdekében elengedhetetlen, hogy jó hírű vírusirtó és kártevőirtó szoftvert használjon, rendszerét és szoftverét naprakészen tartsa a legújabb biztonsági javításokkal, és kerülje az e-mailekben vagy webhelyeken található gyanús hivatkozásokra vagy mellékletekre való kattintást.