Новый Windows-зловред Beep очень старается избежать обнаружения

Татьяна Никитина 15 Февраля 2023 - 20:24

...

Новый Windows-зловред Beep очень старается избежать обнаружения

Проведенный в Minerva Labs анализ одного из семплов, загруженных на VirusTotal, показал, что вредонос до зубов вооружен средствами противодействия анализу. Новобранец также умеет загружать и исполнять дополнительные файлы.

Исследователей поразило количество техник, позволяющих определить запуск в песочнице, виртуальной машине или из-под отладчика: их оказалось полтора десятка. Реализации проверок на наличие антивирусов в коде не обнаружено.

Вредонос также проверяет дефолтный язык системы, используя Windows-функцию GetUserDefaultLangID (winnls.h). Если это русский, украинский, белорусский, таджикский, словенский, грузинский, казахский или узбекский (кириллица), исполнение откатывается.

Больше всего экспертов заинтересовало использование API-функции Beep (utilapiset.h) для задержки исполнения: с этой целью зловреды обычно используют Sleep API. Характерное отличие подсказало кодовое имя для новой угрозы — в Minerva ее нарекли Beep.

Вредоносная программа состоит из трех компонентов:

дроппер (big.dll, детектируют 55 из 70 антивирусов VirusTotal, результат на 15 февраля);
инжектор (AphroniaHaimavati.dll, 48 из 70);
полезная нагрузка.

Первый отвечает за создание нового ключа реестра и исполнение PowerShell-загрузчика. Сценарий при этом запускается каждые 13 минут (для этого в Windows создается новое запланированное задание), чтобы получить с удаленного сервера инжектор.

Этот модуль сначала проверяет окружение. Не найдя признаков враждебной среды, он извлекает и запускает полезную нагрузку, внедряя ее в легитимный процесс WWAHost.exe по методу process hollowing.

Пейлоад-компонент собирает и сливает на сторону системные данные. По команде с C2-сервера (расположен в США, адрес вшит в код) он может составить список запущенных процессов, собрать дополнительную информацию, запустить исполнение шелл-кода, DLL или файла EXE.

Список команд Beep включает 10 наименований, однако некоторые из них не реализованы. Исследователи пришли к выводу, что зловред находится на ранней стадии разработки.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 30 Октября 2025 - 16:38

Трояны Соответствие законодательству РФ Домашние пользователи Государство

В Московском регионе задержаны предполагаемые авторы вредоноса Медуза

Полиция Москвы и Подмосковья задержала троих айтишников. Молодые люди подозреваются в причастности к созданию и распространению вредоносной программы «Медуза», а также к использованию ее в атаках на территории России.

В ходе расследования выяснилось, что ворующий данные зловред был создан около двух лет назад и продвигался через хакерские форумы. В мае этого года он засветился в атаке на одно из учреждений Астраханской области.

Те же вирусописатели создали еще один вредоносный продукт — бот, умеющий обходить средства защиты данных.

Следственным управлением УМВД по Астраханской области возбуждено уголовное дело по признакам преступления, предусмотренного ч. 2 ст. 273 УК РФ (создание / распространение / использование вредоносных программ в составе ОПГ, до пяти лет лишения свободы).

В ходе обысков у фигурантов были изъяты компьютерная техника, средства связи, банковские карты и другие предметы, имеющие доказательственное значение. Задержанным избраны различные меры пресечения, полиция пытается выявить других соучастников и дополнительные свидетельства противоправной деятельности.

О какой «Медузе» идет речь, можно только гадать. В пресс-релизе МВД РФ сказано, что зловред предназначен «для хищения учетных данных, сведений о криптокошельках и другой компьютерной информации».

По всей видимости, речь идет о Meduza Stealer, а не о банковском трояне Medusa, заточенном под Android, и уж явно не о шифровальщике с тем же именем.