کارشناسان درباره Beep هشدار می دهند ، بدافزار جدید فراری که می تواند زیر رادار حرکت کند.

محققان امنیت سایبری ، یک بدافزار جدید به نام Beep را کشف کرده‌اند، دلیل این نامگذاری این است که اجرای آن از طریق استفاده از Beep API function (صدای “بیپ” واقعی) است .این بدافزار برای حرکت در زیر رادار و انداختن پی لودها ( payloads ) بر روی یک میزبان در معرض خطر طراحی شده است.

از آنجایی که یکی از این تکنیک‌ها شامل به تأخیر انداختن اجرا از طریق استفاده از Beep API function بود، این بدافزار Beep نامیده شد .

Beep از سه جزء تشکیل شده است که اولین آن Dropper یا قطره چکان است که مسئول ایجاد یک کلید رجیستری جدید ویندوز و اجرای یک اسکریپت PowerShell با کد Base64 است که در آن ذخیره شده است.نحوه کار ابزار Dropper یا قطره چکان به این صورت می باشد که به ترتیب و یا به درخواست مهاجم بصورت ذره ذره و کم کم کدهای مخرب اجرایی مثل Backdoor ها و Rootkit ها و Keylogger ها را دریافت می کند و بر روی سیستم هدف نصب می کند.

اسکریپت پاورشل(PowerShell) ، به نوبه خود، برای بازیابی یک انژکتور به یک سرور ریموت دسترسی پیدا می‌کند، که پس از تأیید اینکه سرور هنوز debugged (اشکال زدایی) نشده و یا در ماشین مجازی راه‌اندازی نشده است ، از طریق تکنیکی به نام Process Hollowing ، پی لود  را استخراج و راه‌اندازی می‌کند.

Process Hollowing يك ترفند Code Injection است که در آن بدافزار یک روند قانونی را در حالت تعلیق ایجاد می‌کند. سپس آدرس حافظه فرآیند مجاز آزاد شده و كد مخرب جايگزين آن می‌گردد. وقتی رشته فرآیند از سر گرفته می‌شود، كد مخرب غلط ‌انداز را به عنوان یک فرآیند مجاز اجرا می‌کند.

پی لود (Payload ) ، یک دزدی اطلاعات می باشد که برای جمع آوری و استخراج اطلاعات سیستم و شمارش فرآیندهای در حال اجرا مجهز است. سایر دستورالعمل‌هایی که بدافزار می‌تواند از سرور فرمان و کنترل (C2) بپذیرد، شامل توانایی اجرای فایل‌های DLL و EXE است.

سازمان ها با خطرات افزایش یافته ناشی از تهدیدات پیچیده تر روبرو هستند.از آنجایی که شناسایی بدافزار دشوارتر می شود، باید تمرکز بیشتری روی جلوگیری از نفوذ آن در وهله اول صورت گیرد. کاربران باید بهتر آموزش ببینند و آگاهی بیشتری داشته باشند، و باید ابزارهایی را توسعه دهند که بتوانند پی لودهای مشکوک را از رسیدن به هدف خود باز دارند. ما همچنین به درک بهتری از وضعیت نیاز داریم تا بتوانیم سیستم‌های آلوده را قبل از اینکه بدافزار در صورت فرود آمدن آسیب بیشتری وارد کند شناسایی و ایزوله کنیم .

کریستین سیمکو، معاون بازاریابی محصول در AppViewX، می گوید روشی که Beep ساخته شده است، تشخیص آن را دشوار می‌کند و بنابراین، می‌تواند در بررسی‌های کد گم شود و در نهایت نرم‌افزار قانونی را در معرض خطر قرار دهد. احتمال بیشتری وجود دارد که مهاجمان از فیشینگ و جعل وب سایت استفاده کنند تا افراد را مجبور به اجرای بدافزار کنند که می تواند در دفاع امنیتی برای شناسایی فعالیت های مخرب و همچنین برای امنیت سازمان مضر باشد.

سیمکو همچنین افزود: «در این مورد، آموزش امنیت سایبری هنوز یکی از بهترین دفاع ها است. پیوست‌هایی را که فایل‌های اجرایی هستند (exe., .dll) باز نکنید. روی پیوندهای نامعتبر در ایمیل ها کلیک نکنید. با وب‌سایت‌هایی که https محافظت نشده‌اند (گواهینامه‌های TLS/SSL) تعامل نداشته باشید و حتی در این مورد همیشه بر اساس محتوا احتیاط کنید.»