Les chercheurs en cybersécurité ont découvert un nouveau logiciel malveillant évasif appelé Beep, conçu pour voler sous le radar et déposer des charges utiles supplémentaires sur un hôte compromis. « Il semblait que les auteurs de ce malware essayaient de mettre en œuvre autant de techniques anti-débogage et anti-VM (anti-sandbox) qu’ils pouvaient trouver », a déclaré Natalie Zargarov, chercheuse chez Minerva Labs. « L’une de ces techniques impliquait de retarder l’exécution grâce à l’utilisation de la fonction API Beep, d’où le nom du malware. » Beep comprend trois composants, dont le premier est un compte-gouttes chargé de créer une nouvelle clé de registre Windows et d’exécuter un script PowerShell codé en Base64 qui y est stocké. Le script PowerShell, pour sa part, s’adresse à un serveur distant pour récupérer un injecteur qui, après avoir confirmé qu’il n’est pas débogué ou lancé dans une machine virtuelle, extrait et lance la charge utile via une technique appelée creusement de processus. La charge utile est un voleur d’informations équipé pour collecter et exfiltrer les informations système et énumérer les processus en cours d’exécution. D’autres instructions que le logiciel malveillant est capable d’accepter d’un serveur de commande et de contrôle (C2) incluent la possibilité d’exécuter des fichiers DLL et EXE.
Un certain nombre d’autres fonctionnalités doivent encore être implémentées, ce qui suggère que Beep en est encore à ses premiers stades de développement. Ce qui distingue les logiciels malveillants émergents, c’est qu’ils se concentrent fortement sur la furtivité, adoptant un grand nombre de méthodes d’évasion de la détection dans le but de résister à l’analyse, d’éviter les bacs à sable et de retarder l’exécution. « Une fois que ce malware a pénétré avec succès dans un système, il peut facilement télécharger et diffuser une large gamme d’outils malveillants supplémentaires, y compris des ransomwares, ce qui le rend extrêmement dangereux », a noté Zargarov. Les résultats surviennent alors que le fournisseur d’antivirus Avast a révélé les détails d’une autre souche de compte-gouttes nommée NeedleDropper qui a été utilisée pour distribuer différentes familles de logiciels malveillants depuis octobre 2022. Livré via des pièces jointes de courrier indésirable, Discord ou des URL OneDrive, le malware est soupçonné d’être proposé en tant que service à d’autres acteurs criminels cherchant à distribuer leurs propres charges utiles. « Le logiciel malveillant essaie de se cacher en supprimant de nombreux fichiers non utilisés et non valides et stocke des données importantes entre plusieurs Mo de données sans importance, et utilise également des applications légitimes pour effectuer son exécution », a déclaré la société.