BIOPASS RAT

Un cheval de Troie d'accès à distance (RAT) jusqu'alors inconnu a été découvert dans le cadre d'une opération nuisible ciblant les sociétés de jeux d'argent en ligne chinoises dans le cadre d'une attaque de point d'eau. Les chercheurs ont nommé le malware BIOPASS RAT et ont publié un rapport détaillant ses capacités. La menace a été transmise aux visiteurs des sites compromis via un chargeur de logiciels malveillants qui se présente comme des produits logiciels légitimes et bien connus mais désormais obsolètes. Il a été observé que le chargeur se faisait passer pour un programme d'installation pour Adobe Flash Player ou Microsoft Silverlight. L'auteur de la menace plaçait généralement le script d'infection sur la page d'assistance en ligne du site compromis. Lorsque le chargeur est exécuté sur la machine de la victime, il dépose soit une balise Cobalt, soit une charge utile BIOPASS RAT.

Les BIOPASS RAT peuvent diffuser l'écran de la victime

Écrit à l'aide du langage de programmation Python, BIOPASS RAT est une menace d'accès à distance à part entière avec quelques rebondissements. Il peut manipuler le système de fichiers - supprimer ou créer des répertoires, supprimer, télécharger ou télécharger des fichiers, ainsi que tuer les processus choisis et exécuter des commandes arbitraires. Cependant, le BIOPASS RAT télécharge plusieurs outils qui l'aident dans ses objectifs malveillants, tels que la capture de captures d'écran du système. La menace va même au-delà, cependant. En abandonnant et en exploitant le cadre du produit populaire de streaming et d'enregistrement vidéo OBS (Open Broadcaster Software) Studio, BIOPASS est capable de diffuser en direct l'écran de l'appareil violé vers un service cloud via le RTMP (Real-Time Messaging Protocol).

De plus, BIOPASS peut être commandé pour accéder à un grand nombre de données privées sensibles à partir de plusieurs navigateurs Web et applications de messagerie instantanée populaires en Chine. Parmi les applications ciblées figurent QQ Browser , Sogou Explorer , 2345 Explorer , WeChat, 360 Safe Browser, QQ et Aliwangwang. Toutes les données utilisateur exfiltrées, ainsi que les scripts Python BIOPASS RAT, sont stockées sur Alibaba Cloud (Aliyun) en exploitant son service de stockage d'objets (OSS).

L' attribution de la menace

Bien que non concluants, certains liens entre BIOPASS RAT et le groupe Winnti ( APT41 ), un acteur de menace sophistiqué lié à la Chine spécialisé dans les attaques de cyberespionnage, ont été découverts. Une connexion entre les deux peut être établie via les certificats utilisés pour signer les binaires du chargeur BIOPASS RAT. Beaucoup d'entre eux ont probablement été détournés de studios de jeux sud-coréens ou taïwanais. Il s'agit d'une caractéristique établie des pirates informatiques Winnti qui ont incorporé des certificats détournés appartenant à des studieux de jeu dans leurs opérations malveillantes passées.

L'un des certificats du chargeur BIOPASS RAT a également été utilisé pour signer une variante côté serveur du malware Derusbi. Cette menace particulière fait partie des boîtes à outils menaçantes de plusieurs groupes APT (Advanced Persistent Threat). Cependant, la variante côté serveur a été observée comme un chargeur dans les attaques du groupe Winnti. Les chercheurs de Trend Micro ont également découvert un chargeur Cobalt Strike avec une chaîne PBD et des domaines C&C qui ont déjà été attribués aux pirates de Winnti.

Le BIOPASS RAT est considéré comme étant toujours en cours de développement, le danger qu'il représente pourrait donc devenir encore plus grand à l'avenir avec la publication de versions encore plus sophistiquées de la menace.