BIOPASS RAT

Uma ameaça de Trojan de Acesso Remoto (RAT) até então desconhecida, foi descoberta como parte de uma operação prejudicial, direcionada a empresas chinesas de jogos de azar online, em um ataque de watering hole. Os pesquisadores nomearam o malware BIOPASS RAT e divulgaram um relatório detalhando os seus recursos. A ameaça foi entregue aos visitantes dos sites comprometidos por meio de um carregador de malware, que se apresenta como legítimo e conhecido, mas que agora é um produto de software obsoleto. Observou-se que o carregador se apresenta como um instalador para o Adobe Flash Player ou Microsoft Silverlight. O ator da ameaça geralmente colocava o script de infecção na página de suporte online do site comprometido. Quando o carregador é executado na máquina da vítima, ele descarta um sinalizador do Cobalt, ou uma carga útil do BIOPASS RAT.

O BIOPASS RAT pode Transmitir a Tela da Vítima

Escrito usando a linguagem de programação Python, o BIOPASS RAT é uma ameaça de acesso remoto totalmente desenvolvida com algumas variações. Ele pode manipular o sistema de arquivos - excluir ou criar diretórios, excluir, fazer download ou upload de arquivos, bem como eliminar processos escolhidos e executar comandos arbitrários. O BIOPASS RAT baixa várias ferramentas que o ajudam nos seus objetivos mal-intencionados, tais como capturar imagens do sistema. No entanto, a ameaça vai ainda mais além. Ao descartar e explorar a estrutura do popular produto de streaming e gravação de vídeo OBS (Open Broadcaster Software) Studio, o BIOPASS é capaz de transmitir ao vivo a tela do dispositivo violado para um serviço na nuvem por meio do RTMP (Real-Time Messaging Protocol).

Além disso, o BIOPASS pode ser comandado para acessar um grande conjunto de dados privados confidenciais de vários navegadores da Web e aplicativos de mensagens instantâneas populares na China. Entre os aplicativos visados estão o QQ Browser, Sogou Explorer, 2345 Explorer, WeChat, 360 Safe Browser, QQ e Aliwangwang. Todos os dados do usuário exfiltrados, juntamente com os scripts BIOPASS RAT Python, são armazenados no Alibaba Cloud (Aliyun), explorando seu Serviço de Armazenamento de Objeto (OSS).

As Atribuições da Ameaça

Embora não conclusivos, foram descobertos alguns vínculos entre o BIOPASS RAT e o Winnti Group ( APT41 ), um sofisticado ator de ameaças relacionado à Chin, que se especializou em ataques de espionagem cibernética. Uma conexão entre os dois pode ser estabelecida por meio dos certificados usados para assinar os binários do carregador BIOPASS RAT. Muitos deles foram provavelmente desviados de estúdios de jogos sul-coreanos ou taiwaneses. Essa é uma característica estabelecida dos hackers Winnti que incorporaram certificados inapropriados pertencentes a estudiosos de jogos em suas operações maliciosas anteriores.

Um dos certificados do carregador BIOPASS RAT também foi usado para assinar uma variante do lado do servidor do malware Derusbi. Essa ameaça específica faz parte dos kits de ferramentas de vários grupos de APTs (Advanced Persistent Threat). No entanto, a variante do lado do servidor foi observada como um carregador em ataques do Grupo Winnti. Os pesquisadores da Trend Micro também descobriram um carregador do Cobalt Strike com uma string PBD e domínios C&C que já foram atribuídos aos hackers do Winnti.

O BIOPASS RAT é considerado ainda em desenvolvimento ativo, então o perigo que ele representa pode se tornar ainda maior no futuro, com o lançamento de versões ainda mais sofisticadas da ameaça.