Los investigadores de seguridad cibernética han descubierto una nueva pieza de malware evasivo denominada Beep que está diseñada para pasar desapercibida y lanzar cargas útiles adicionales en un host comprometido.
«Parecía como si los autores de este malware estuvieran tratando de implementar tantas técnicas anti-depuración y anti-VM (anti-sandbox) como pudieran encontrar», dijo la investigadora de Minerva Labs, Natalie Zargarov .
«Una de esas técnicas implicaba retrasar la ejecución mediante el uso de la función Beep API , de ahí el nombre del malware».
Beep consta de tres componentes, el primero de los cuales es un cuentagotas que es responsable de crear una nueva clave del Registro de Windows y ejecutar un script de PowerShell codificado en Base64 almacenado en él.
El script de PowerShell, por su parte, llega a un servidor remoto para recuperar un inyector que, después de confirmar que no está siendo depurado o lanzado en una máquina virtual, extrae y lanza el payload a través de una técnica llamada vaciado de procesos .
La carga útil es un ladrón de información que está equipado para recopilar y extraer información del sistema y enumerar los procesos en ejecución. Otras instrucciones que el malware es capaz de aceptar desde un servidor de comando y control (C2) incluyen la capacidad de ejecutar archivos DLL y EXE.
Aún no se han implementado otras características, lo que sugiere que Beep aún se encuentra en sus primeras etapas de desarrollo.
Lo que distingue al malware emergente es su fuerte enfoque en el sigilo, adoptando una gran cantidad de métodos de evasión de detección en un intento de resistir el análisis, evitar los espacios aislados y retrasar la ejecución.
«Una vez que este malware penetra con éxito en un sistema, puede descargar y propagar fácilmente una amplia gama de herramientas maliciosas adicionales, incluido el ransomware, lo que lo hace extremadamente peligroso», señaló Zargarov.
Los hallazgos se producen cuando el proveedor de antivirus Avast reveló detalles de otra cepa cuentagotas con nombre en código NeedleDropper que se ha utilizado para distribuir diferentes familias de malware desde octubre de 2022.
Entregado a través de archivos adjuntos de correo electrónico no deseado, Discord o URL de OneDrive, se sospecha que el malware se ofrece como un servicio para otros actores criminales que buscan distribuir sus propias cargas útiles.
«El malware intenta ocultarse dejando caer muchos archivos inválidos no utilizados y almacena datos importantes entre varios MB de datos sin importancia, y también utiliza aplicaciones legítimas para realizar su ejecución», dijo la compañía .
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos.