Новый Windows-зловред Beep очень старается избежать обнаружения

Татьяна Никитина 15 Февраля 2023 - 20:24

...

Новый Windows-зловред Beep очень старается избежать обнаружения

Проведенный в Minerva Labs анализ одного из семплов, загруженных на VirusTotal, показал, что вредонос до зубов вооружен средствами противодействия анализу. Новобранец также умеет загружать и исполнять дополнительные файлы.

Исследователей поразило количество техник, позволяющих определить запуск в песочнице, виртуальной машине или из-под отладчика: их оказалось полтора десятка. Реализации проверок на наличие антивирусов в коде не обнаружено.

Вредонос также проверяет дефолтный язык системы, используя Windows-функцию GetUserDefaultLangID (winnls.h). Если это русский, украинский, белорусский, таджикский, словенский, грузинский, казахский или узбекский (кириллица), исполнение откатывается.

Больше всего экспертов заинтересовало использование API-функции Beep (utilapiset.h) для задержки исполнения: с этой целью зловреды обычно используют Sleep API. Характерное отличие подсказало кодовое имя для новой угрозы — в Minerva ее нарекли Beep.

Вредоносная программа состоит из трех компонентов:

дроппер (big.dll, детектируют 55 из 70 антивирусов VirusTotal, результат на 15 февраля);
инжектор (AphroniaHaimavati.dll, 48 из 70);
полезная нагрузка.

Первый отвечает за создание нового ключа реестра и исполнение PowerShell-загрузчика. Сценарий при этом запускается каждые 13 минут (для этого в Windows создается новое запланированное задание), чтобы получить с удаленного сервера инжектор.

Этот модуль сначала проверяет окружение. Не найдя признаков враждебной среды, он извлекает и запускает полезную нагрузку, внедряя ее в легитимный процесс WWAHost.exe по методу process hollowing.

Пейлоад-компонент собирает и сливает на сторону системные данные. По команде с C2-сервера (расположен в США, адрес вшит в код) он может составить список запущенных процессов, собрать дополнительную информацию, запустить исполнение шелл-кода, DLL или файла EXE.

Список команд Beep включает 10 наименований, однако некоторые из них не реализованы. Исследователи пришли к выводу, что зловред находится на ранней стадии разработки.

Следующая главная новость »

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!

Екатерина Быстрова 29 Июня 2026 - 12:33

Android Трояны Домашние пользователи

Android-троян Rokarolla маскируется под Google Play Protect

Пока пользователи думают, что устанавливают защиту, мошенники устанавливают троян. Исследователи обнаружили новый Android-вредонос Rokarolla, который распространяется через поддельные сайты, маскируясь под Google Play Protect, Google Chrome, TikTok и другие популярные приложения.

На первый взгляд схема банальна — жертву уговаривают скачать APK с фейкового сайта.

После установки Rokarolla просит предоставить права Accessibility Service, доступ к СМС, уведомлениям и другим важным функциям. Если пользователь соглашается, смартфон фактически переходит под управление злоумышленников.

По данным исследователей, троян нацелен как минимум на 217 банковских и криптовалютных приложений. При запуске одного из них вредонос показывает фальшивую страницу входа, практически неотличимую от настоящей. Все введенные логины, пароли и платежные данные сразу отправляются на серверы операторов.

Но этим возможности Rokarolla не ограничиваются. Он умеет перехватывать СМС с одноразовыми кодами, отправлять сообщения от имени пользователя, блокировать телефонные звонки, подменять содержимое буфера обмена — например, криптокошельки, — а также вести кейлоггинг, делать скриншоты, извлекать текст с экрана и даже собирать контакты WhatsApp (принадлежит корпорации Meta, признанной экстремистской и запрещённой в России).

Для управления заражённым устройством используется развитая инфраструктура командных серверов. Исследователи насчитали не менее 137 удалённых команд, позволяющих обновлять настройки атаки, запускать новые фишинговые страницы, управлять устройством и собирать данные.

Чтобы оставаться незаметным, Rokarolla пытается отключить Google Play Protect, скрывает свой значок, подавляет уведомления и использует обманные оверлеи, мешающие пользователю заметить подозрительную активность.

Эксперты отмечают, что современные банковские трояны постепенно превращаются в универсальные платформы для цифрового мошенничества. Лучшей защитой по-прежнему остается отказ от установки приложений из сторонних источников, использование только Google Play, включенный Play Protect и максимально осторожное отношение к запросам на выдачу прав Accessibility.

ИИ в руках хакеров: как меняются кибератаки в 2026?
Регистрируйтесь на эфир!