Новый Windows-зловред Beep очень старается избежать обнаружения

Татьяна Никитина 15 Февраля 2023 - 20:24

...

Новый Windows-зловред Beep очень старается избежать обнаружения

Проведенный в Minerva Labs анализ одного из семплов, загруженных на VirusTotal, показал, что вредонос до зубов вооружен средствами противодействия анализу. Новобранец также умеет загружать и исполнять дополнительные файлы.

Исследователей поразило количество техник, позволяющих определить запуск в песочнице, виртуальной машине или из-под отладчика: их оказалось полтора десятка. Реализации проверок на наличие антивирусов в коде не обнаружено.

Вредонос также проверяет дефолтный язык системы, используя Windows-функцию GetUserDefaultLangID (winnls.h). Если это русский, украинский, белорусский, таджикский, словенский, грузинский, казахский или узбекский (кириллица), исполнение откатывается.

Больше всего экспертов заинтересовало использование API-функции Beep (utilapiset.h) для задержки исполнения: с этой целью зловреды обычно используют Sleep API. Характерное отличие подсказало кодовое имя для новой угрозы — в Minerva ее нарекли Beep.

Вредоносная программа состоит из трех компонентов:

дроппер (big.dll, детектируют 55 из 70 антивирусов VirusTotal, результат на 15 февраля);
инжектор (AphroniaHaimavati.dll, 48 из 70);
полезная нагрузка.

Первый отвечает за создание нового ключа реестра и исполнение PowerShell-загрузчика. Сценарий при этом запускается каждые 13 минут (для этого в Windows создается новое запланированное задание), чтобы получить с удаленного сервера инжектор.

Этот модуль сначала проверяет окружение. Не найдя признаков враждебной среды, он извлекает и запускает полезную нагрузку, внедряя ее в легитимный процесс WWAHost.exe по методу process hollowing.

Пейлоад-компонент собирает и сливает на сторону системные данные. По команде с C2-сервера (расположен в США, адрес вшит в код) он может составить список запущенных процессов, собрать дополнительную информацию, запустить исполнение шелл-кода, DLL или файла EXE.

Список команд Beep включает 10 наименований, однако некоторые из них не реализованы. Исследователи пришли к выводу, что зловред находится на ранней стадии разработки.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Яков Шпунт 11 Февраля 2026 - 14:26

Ботнет DDoS-атаки Домашние пользователи

Злоумышленники научились использовать умные кормушки для слежки

Злоумышленники могут использовать взломанные умные кормушки для животных для слежки за владельцами. Для получения информации применяются встроенные в устройства микрофоны и видеокамеры. Получив несанкционированный доступ, атакующие способны наблюдать за происходящим в помещении и перехватывать данные.

Об использовании таких устройств в криминальных целях рассказал агентству «Прайм» эксперт Kaspersky ICS CERT Владимир Дащенко.

«Это уже не гипотетическая угроза: известны случаи взлома домашних камер, видеонянь, кормушек для животных и других умных приборов», — предупреждает эксперт.

По словам Владимира Дащенко, вопросам кибербезопасности таких устройств часто не уделяется должного внимания. Между тем любое оборудование с доступом в интернет может стать точкой входа для злоумышленников.

Скомпрометированные устройства могут использоваться и для атак на другие элементы домашней сети — например, смартфоны или компьютеры. Кроме того, они способны становиться частью ботнетов, применяемых для DDoS-атак или майнинга криптовалют. На подобные риски почти год назад обращало внимание МВД России.

Среди признаков возможной компрометации умных устройств эксперт называет самопроизвольные отключения, резкие изменения сетевой активности, появление сообщений об ошибках или другие нетипичные события.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »