BIOPASS RAT

Una minaccia precedentemente sconosciuta di Trojan di accesso remoto (RAT) è stata scoperta come parte di un'operazione dannosa rivolta alle società di gioco d'azzardo online cinesi in un attacco di watering hole. I ricercatori hanno chiamato il malware BIOPASS RAT e hanno pubblicato un rapporto che ne dettaglia le capacità. La minaccia è stata consegnata ai visitatori dei siti compromessi tramite un caricatore di malware che si spaccia per prodotti software legittimi e ben noti ma ormai deprecati. È stato osservato che il caricatore si passa come un programma di installazione per Adobe Flash Player o Microsoft Silverlight. L'autore della minaccia di solito ha inserito lo script di infezione nella pagina di supporto online del sito compromesso. Quando il caricatore viene eseguito sulla macchina della vittima, rilascia un beacon Cobalt o un payload BIOPASS RAT.

I RATTI BIOPASS possono trasmettere in streaming lo schermo della vittima

Scritto utilizzando il linguaggio di programmazione Python, BIOPASS RAT è una minaccia di accesso remoto a tutti gli effetti con un paio di colpi di scena. Può manipolare il file system: eliminare o creare directory, eliminare, scaricare o caricare file, nonché uccidere i processi scelti ed eseguire comandi arbitrari. Tuttavia, il BIOPASS RAT scarica diversi strumenti che lo aiutano nei suoi obiettivi malvagi, come catturare schermate del sistema. La minaccia va anche oltre, però. Abbandonando e sfruttando la struttura del popolare prodotto di streaming e registrazione video OBS (Open Broadcaster Software) Studio, BIOPASS è in grado di trasmettere in streaming in diretta lo schermo del dispositivo violato a un servizio cloud tramite RTMP (Real-Time Messaging Protocol).

Inoltre, è possibile comandare a BIOPASS di accedere a un ampio set di dati privati sensibili da diversi browser Web e applicazioni di messaggistica istantanea popolari in Cina. Tra le applicazioni mirate ci sono QQ Browser , Sogou Explorer , 2345 Explorer , WeChat, 360 Safe Browser, QQ e Aliwangwang. Tutti i dati utente esfiltrati, insieme agli script Python BIOPASS RAT, sono archiviati su Alibaba Cloud (Aliyun) sfruttando il suo servizio di archiviazione oggetti (OSS).

L' attribuzione della minaccia

Sebbene non conclusivi, sono stati scoperti alcuni collegamenti tra BIOPASS RAT e il Winnti Group ( APT41 ), un sofisticato attore di minacce legato alla Cina specializzato in attacchi di spionaggio informatico. Una connessione tra i due può essere stabilita tramite i certificati utilizzati per firmare i file binari del caricatore BIOPASS RAT. Molti di loro sono stati molto probabilmente sottratti da studi di gioco sudcoreani o taiwanesi. Questa è una caratteristica consolidata degli hacker Winnti che hanno incorporato certificati sottratti appartenenti a game studious nelle loro precedenti operazioni dannose.

Uno dei certificati del caricatore BIOPASS RAT è stato utilizzato anche per firmare una variante lato server del malware Derusbi. Questa particolare minaccia ha fatto parte dei minacciosi toolkit di diversi gruppi APT (Advanced Persistent Threat). Tuttavia, la variante lato server è stata osservata come un caricatore negli attacchi del Winnti Group. I ricercatori di Trend Micro hanno anche scoperto un caricatore Cobalt Strike con una stringa PBD e domini C&C che sono già stati attribuiti agli hacker di Winnti.

Il BIOPASS RAT è considerato ancora in fase di sviluppo attivo, quindi il pericolo che rappresenta potrebbe diventare ancora maggiore in futuro con il rilascio di versioni ancora più sofisticate della minaccia.