Posté le juillet 13, 2021 à 21:20
DES HACKERS INFECTENT DES SITES DE JEUX EN LIGNE CHINOIS AVEC LE LOGICIEL MALVEILLANT BIOPASS
Les chercheurs de Trend Micro ont découvert un nouveau logiciel malveillant appelé BIOPASS, qui utilise le studio Open Broadcaster Software (OBS) pour espionner l’écran de la victime.
Selon le rapport, les hackers à l’origine du nouveau logiciel malveillant ont diffusé un code JavaScript malveillant sur des sites chinois liés aux jeux de hasard, redirigeant leurs visiteurs vers les pages qui proposent les installateurs malveillants.
Le logiciel malveillant a été déployé dans le cadre d’attaques de type « watering hole » et déguisé en programme d’installation authentique, trompant ainsi les utilisateurs. Ils se déguisent parfois en programme d’installation de Microsoft Silverlight ou d’Adobe Flash Player.
Le logiciel malveillant présente les caractéristiques des RAT les plus populaires
Les chercheurs ont analysé le chargeur et découvert qu’il charge soit la nouvelle porte dérobée python, soit le shellcode Cobalt Strike repéré par les chercheurs comme étant le RAT BIOPASS.
Le logiciel malveillant offre des fonctionnalités courantes de RAT telles que l’exécution de commandes shell, l’exfiltration de fichiers, l’accès à distance au bureau et l’évaluation du système de fichiers.
Le logiciel malveillant est également capable de voler des informations privées à partir des clients de messagerie instantanée et des navigateurs Web de l’appareil de la victime.
Il utilise les capacités de streaming du protocole RTMP (Real-Time Messaging Protocol) d’OBS studio pour enregistrer et envoyer des informations sur l’écran de l’utilisateur au panneau de contrôle de l’auteur de la menace.
OBS est une application populaire d’enregistrement vidéo et de diffusion en direct qui compte des millions d’utilisateurs. Outre l’utilisation d’OBS, l’attaquant a également exploité le service de stockage d’objets (OSS) d’Alibaba Cloud pour l’hébergement des scripts Python de BIOPASS RAT. En outre, il stocke les données volées des victimes, selon les rapports de trend Micro, qui a lié le logiciel malveillant au groupe de hackers chinois connu sous le nom de groupe APT Winnti.
Le groupe de hackers APT41 serait à l’origine de l’attaque
L’équipe de sécurité a également noté que les binaires du chargeur BIOPASS RAT étaient signés à l’aide de deux certificats valides exfiltrés de studios de jeux taïwanais et sud-coréens.
Cette méthode, selon les chercheurs, était initialement liée à des campagnes de cyberespionnage menées par le groupe Winnti.
Elle s’inscrira dans les méthodes opérationnelles du groupe puisque APT41 est connu pour se livrer à de telles opérations. Il s’engage parfois dans des attaques à motivation financière et parfois dans des attaques de cyberespionnage, ce qui est leur méthode opérationnelle habituelle.
BIOPASS RAT est connu pour avoir des caractéristiques de base que l’on retrouve dans d’autres logiciels malveillants, comme l’ont noté les chercheurs de Trend Micro. Il est également configuré pour compromettre les informations privées de la victime, son client de données de messagerie instantanée, ainsi qu’un navigateur Web.
Outre ses nombreuses capacités, BIOPASS peut également mettre en place une diffusion en direct vers un service cloud, l’attaquant contrôlant le RTMP et communiquant avec le serveur distant via le protocole Socket.IO.
Cependant, le logiciel malveillant est toujours en cours de développement. Cela signifie qu’il pourrait être plus puissant lorsque tous ses potentiels seront utilisés. Il a déjà été découvert en train de voler des données privées dans des applications de messagerie instantanée et des navigateurs Web, principalement en Chine continentale.
Parmi ses moyens d’exploitation figurent WeChat QQ, 360 Safe Browser, Sogonu Explorer, 2345 Explorer et QQ Browser.
Le même Cobalt Strike a également été lié à une cyberattaque contre MonOass, une autorité de certification populaire en Mongolie. L’attaque s’est produite au début de l’année, lorsque les hackers ont trafiqué l’installateur dans le but de placer les charges utiles de la balise Cobalt Strike dans les systèmes infiltrés.
Un logiciel malveillant sophistiqué
Le RAT BIOPASS a été qualifié de logiciel malveillant sophistiqué car il a été conçu avec des scripts Python.
Selon les chercheurs, le chargeur de logiciels malveillants a été implanté sous la forme d’un fichier exécutable qui se camoufle en installateur de mise à jour authentique sur un site web infiltré. Les experts en sécurité ont également découvert une modification côté serveur de l’échantillon du logiciel malveillant Derusbi dans l’attaque. Selon Trend Micro, cette variation fait partie de l’arsenal de Winnti.
Une autre caractéristique importante du logiciel malveillant est la capacité d’utiliser des tâches planifiées comme moyen de maintenir la persistance dans un système compromis.
En conséquence, les chercheurs ont recommandé aux utilisateurs de ne pas télécharger d’applications de sources inconnues pour éviter d’en être victimes.