BIOPASS RAT

Se ha descubierto una amenaza de un troyano de acceso remoto (RAT) previamente desconocida como parte de una operación dañina dirigida a las empresas chinas de juego en línea en un ataque de abrevadero. Los investigadores nombraron al malware BIOPASS RAT y publicaron un informe que detalla sus capacidades. La amenaza se envió a los visitantes de los sitios comprometidos a través de un cargador de malware que se hace pasar por productos de software legítimos y conocidos, pero que ahora están en desuso. Se ha observado que el cargador se hace pasar por un instalador de Adobe Flash Player o Microsoft Silverlight. El actor de la amenaza usualmente colocaba el script de infección en la página de soporte en línea del sitio comprometido. Cuando el cargador se ejecuta en la máquina de la víctima, deja caer una baliza de Cobalt o una carga útil BIOPASS RAT.

BIOPASS RAT puede transmitir la pantalla de la víctima

Escrito con el lenguaje de programación Python, BIOPASS RAT es una amenaza de acceso remoto en toda regla con un par de giros. Puede manipular el sistema de archivos: eliminar o crear directorios, eliminar, descargar o cargar archivos, así como eliminar procesos elegidos y ejecutar comandos arbitrarios. Sin embargo, BIOPASS RAT descarga varias herramientas que lo ayudan en sus objetivos malvados, como capturar capturas de pantalla del sistema. Sin embargo, la amenaza va más allá. Al eliminar y explotar el marco del popular producto de transmisión y grabación de video OBS (Open Broadcaster Software) Studio, BIOPASS es capaz de transmitir en vivo la pantalla del dispositivo violado a un servicio en la nube a través del RTMP (Protocolo de mensajería en tiempo real).

Además, se puede ordenar a BIOPASS que acceda a un gran conjunto de datos privados confidenciales desde varios navegadores web y aplicaciones de mensajería instantánea populares en China. Entre las aplicaciones objetivo se encuentran QQ Browser , Sogou Explorer , 2345 Explorer , WeChat, 360 Safe Browser, QQ y Aliwangwang. Todos los datos de usuario extraídos, junto con los scripts de Python de BIOPASS RAT, se almacenan en Alibaba Cloud (Aliyun) mediante la explotación de su servicio de almacenamiento de objetos (OSS).

La atribución de la amenaza

Aunque no es concluyente, se han descubierto algunos vínculos entre BIOPASS RAT y Winnti Group ( APT41 ), un sofisticado actor de amenazas relacionado con China que se especializa en ataques de ciberespionaje. Se puede establecer una conexión entre los dos a través de los certificados utilizados para firmar los binarios del cargador BIOPASS RAT. Muchos de ellos probablemente fueron malversados de los estudios de juegos de Corea del Sur o Taiwán. Esta es una característica establecida de los piratas informáticos de Winnti que han incorporado certificados malversados pertenecientes a Game Studious en sus operaciones maliciosas pasadas.

Uno de los certificados del cargador BIOPASS RAT también se utilizó para firmar una variante del lado del servidor del malware Derusbi. Esta amenaza en particular ha sido parte de los conjuntos de herramientas amenazantes de varios grupos de APT (Amenaza persistente avanzada). Sin embargo, la variante del lado del servidor se ha observado como un cargador en los ataques del Grupo Winnti. Los investigadores de Trend Micro también descubrieron un cargador Cobalt Strike con una cadena PBD y dominios C&C que ya se han atribuido a los piratas informáticos de Winnti.

Se considera que BIOPASS RAT aún se encuentra en desarrollo activo, por lo que el peligro que representa podría ser aún mayor en el futuro con el lanzamiento de versiones aún más sofisticadas de la amenaza.