Il nuovo Biopass RAT si rivolge ai siti web di gioco d’azzardo

È stato scoperto un nuovo malware che prende di mira le società di gioco d’azzardo online in Cina con attacchi di watering hole. I visitatori del sito Web vengono indotti a scaricare un caricatore di malware che impersona installatori legittimi di app come Flash Player o MS Silverlight.

Cosa è successo?

Secondo i ricercatori di Trend Micro, i falsi installatori alla fine rilasciano il codice shell Cobalt Strike o una backdoor precedentemente non documentata scritta in linguaggio Python, ora denominata Biopass RAT.

  • Il RAT ha caratteristiche di base osservate in altri malware, ad esempio, valutazione del file system, esfiltrazione di file, accesso al desktop remoto e l’esecuzione di comandi shell. 
  • Ha la capacità di rubare le informazioni private delle sue vittime prendendo di mira il browser web e i dati del client di messaggistica istantanea. Questi dati rubati possono essere utilizzati per altre azioni dannose.
  • Può monitorare e catturare lo schermo della vittima sfruttando il framework di Open Broadcaster Software (OBS) Studio, una nota app utilizzata per stabilire lo streaming live su un servizio cloud utilizzando RTMP.
  • Inoltre, il RAT può sfruttare l’Object Storage Service (OSS) di Alibaba Cloud (Aliyun) per ospitare script Python Biopass RAT per salvare i dati esfiltrati dalle sue vittime.

Inoltre, questa minaccia potrebbe essere collegata al Winnti Group (noto anche come APT41) e ancora in fase di sviluppo. Durante l’analisi, i ricercatori hanno osservato riferimenti a diverse versioni di codice, come V2 o BPSV3.

Come funziona l’attacco?

Il meccanismo di consegna di questo malware appena scoperto è un attacco watering hole, in cui un sito web compromesso in cui viene iniettato un codice JavaScript personalizzato viene utilizzato per consegnare il malware.

  • Nella maggior parte dei casi, gli aggressori avevano inserito il loro script di iniezione all’interno della pagina della chat di supporto online del bersaglio. Lo script iniettato esegue la scansione dell’host interessato inviando richieste HTTP a un elenco di porte.
  • Se il malware riceve una risposta con una stringa prevista da questo elenco di porte, lo script si interrompe. Si ritiene che questo passo specifico sia preso per evitare una vittima già infetta.

Conclusioni

Biopass RAT è un malware sofisticato implementato tramite script Python. La pretesa di installatori legittimi lo rende una minaccia semplice ma mortale che ostenta molteplici capacità . Pertanto, le organizzazioni dovrebbero disporre di solidi meccanismi di sicurezza per rimanere protette da tali minacce avanzate.