Centrul de Suport la Incidente de Securitate Cibernetică (CSISC) a companiei RTS anunță despre apariția noului malware BIOPASS
Jul 20, 2021    
News, International, Announcement, Diverse    
175

Centrul de Suport la Incidente de Securitate Cibernetică (CSISC) a companiei RTS anunță despre apariția noului malware BIOPASS

Hackerii au compromis site-urile de jocuri de noroc pentru a livra un nou troian de acces la distanță (RAT) numit BIOPASS, care permite vizionarea ecranului computerului victimei în timp real, abuzând de software-ul de streaming live popular.

În afară de caracteristica neobișnuită, care vine pe lângă funcțiile obișnuite văzute în RAT-uri, malware-ul poate fura și date private din browserele web și din aplicațiile de mesagerie instantanee, sursa: cybersecdn.com.

Adobe a renunțat la Flash Player la sfârșitul anului 2020 și blochează rularea conținutului Flash din 12 ianuarie, îndemnând utilizatorii să elimine aplicația din cauza riscurilor de securitate ridicată.

Microsoft Silverlight urmează aceeași cale, astfel încât, Microsoft va încheia asistența la sfârșitul acestui an, pe 12 octombrie. Cadrul este acceptat în prezent numai pe Internet Explorer 11 și nu există planuri pentru prelungirea duratei sale de viață.

Cercetătorii de securitate de la Trend Micro au descoperit că scriptul care preia BIOPASS verifică dacă vizitatorul a fost infectat și este de obicei injectat în pagina de chat online de asistență a site-ului țintă.

„Dacă scriptul confirmă faptul că vizitatorul nu a fost încă infectat, acesta va înlocui conținutul original al paginii cu conținutul propriu al atacatorilor. Noua pagină va afișa un mesaj de eroare cu o instrucțiune însoțitoare care le spune vizitatorilor site-ului web să descarce fie un program de instalare Flash, fie un program de instalare Silverlight, ambele fiind dăunătoare ”- Trend Micro

Actorul amenințător este suficient de precaut pentru a oferi instalatori legitimi pentru Flash Player și Silverlight, aplicațiile fiind descărcate de pe site-urile oficiale sau stocate în spațiul de stocare cloud Alibaba al atacatorilor.

Cu toate acestea, descarcă și FFmpeg care este necesar pentru a înregistra, converti și transmite audio și video, precum și Open Broadcaster Software, o soluție open-source pentru înregistrare video și streaming live.

Atacatorul poate utiliza oricare dintre cele două cadre pentru a monitoriza desktopul unui sistem infectat și pentru a transmite video în cloud, permițându-le să urmărească fluxul în timp real, conectându-se la panoul de control BIOPASS.

În timpul analizei malware-ului, cercetătorii au găsit o comandă care enumeră folderele de instalare pentru mai multe aplicații de mesagerie, printre care WeChat, QQ și Aliwangwang.

BIOPASS extrage, de asemenea, date sensibile - cookie-uri și conectări - din mai multe browsere web (Google Chrome, Microsoft Edge Beta, 360 Chrome, QQ Browser, 2345 Explorer, Sogou Explorer și 360 Safe Browser).

Deși nu au fost implementate în versiunea analizată, cercetătorii au găsit un plugin Python care a furat istoricul chat-urilor de pe WeChat Messenger pentru Windows.

Un alt plugin conținea mai multe scripturi Python pentru infectarea serverelor web printr-un atac XSS (cross-site scripting). Acest lucru ar permite actorului amenințător să își injecteze scripturile în răspunsul browserului web al victimei, permițând atacatorului să manipuleze resursele JavaScript și HTML.

Nu există o atribuire clară asupra cine se află în spatele BIOPASS RAT, dar Trend Micro a găsit legături care indicau grupul chinez de hacker Winnti, cunoscut și sub numele de APT41.

Un bun pas pentru a fi asigurat de atacul BIOPASS, este instalarea unei versiuni antivirusului Bitdefender, Antivirus Plus sau versiune mai avansata. Astea sunt acele versiuni ce oferă cea mai buna protecție pe piață contra asemenea tipuri de atac.