Bienvenido al blog de Undercode   Click to listen highlighted text! Bienvenido al blog de Undercode

Propagan malware BIOPASS a través de sitios chinos de juegos de azar

Los investigadores de ciberseguridad advierten sobre un nuevo malware que está golpeando a las empresas de juegos de azar en línea en China a través de un ataque de abrevadero para implementar balizas Cobalt Strike o una puerta trasera basada en Python previamente indocumentada llamada BIOPASS RAT que aprovecha las ventajas de Live- de Open Broadcaster Software (OBS) Studio. aplicación de transmisión para capturar la pantalla de sus víctimas a los atacantes.

 

El ataque implica engañar a los visitantes del sitio web de juegos para que descarguen un cargador de malware camuflado como un instalador legítimo de aplicaciones populares pero obsoletas como Adobe Flash Player o Microsoft Silverlight, solo para que el cargador actúe como un conducto para buscar cargas útiles de la siguiente etapa.

Específicamente, las páginas de chat de soporte en línea de los sitios web tienen trampas explosivas con código JavaScript malicioso, que se utiliza para entregar el malware a las víctimas.

BIOPASS RAT posee características básicas que se encuentran en otro malware, como evaluación del sistema de archivos, acceso a escritorio remoto, exfiltración de archivos y ejecución de comandos de shell”, señalaron los investigadores de Trend Micro en un análisis publicado el viernes. “También tiene la capacidad de comprometer la información privada de sus víctimas al robar navegadores web y datos de clientes de mensajería instantánea”.

OBS Studio es un software de código abierto para grabación de video y transmisión en vivo, que permite a los usuarios transmitir a Twitch, YouTube y otras plataformas.

Además de ofrecer una variedad de capacidades que se ejecutan en la gama típica de software espía, BIOPASS está equipado para establecer transmisión en vivo a un servicio en la nube bajo el control del atacante a través del Protocolo de mensajería en tiempo real ( RTMP ), además de comunicarse con el comando y control ( C2) servidor utilizando el protocolo Socket.IO .

El malware, que se dice que se encuentra en desarrollo activo, también se destaca por su enfoque en el robo de datos privados de navegadores web y aplicaciones de mensajería instantánea principalmente populares en China continental, incluidos QQ Browser, 2345 Explorer, Sogou Explorer y 360 Safe Browser. WeChat, QQ y Aliwangwang.

No está claro exactamente quién está detrás de esta variedad de malware, pero los investigadores de Trend Micro dijeron que encontraron superposiciones entre BIOPASS y los TTP a menudo asociados con Winnti Group (también conocido como APT41 ), un sofisticado grupo de piratería chino especializado en ataques de ciberespionaje. , basado en el uso de certificados robados y un binario de Cobalt Strike que anteriormente se atribuía al actor de la amenaza.

Además, el mismo binario de Cobalt Strike también se ha conectado a un ciberataque dirigido a MonPass , una importante autoridad de certificación (CA) en Mongolia, a principios de este año en el que se manipuló su software de instalación para instalar las cargas útiles de baliza de Cobalt Strike en sistemas infectados.

“BIOPASS RAT es un tipo sofisticado de malware que se implementa como scripts de Python”, dijeron los investigadores. “Dado que el cargador de malware se entregó como un ejecutable disfrazado de un instalador de actualización legítimo en un sitio web comprometido, […] se recomienda descargar aplicaciones solo de fuentes confiables y sitios web oficiales para evitar verse comprometidos”.

Fuente: www.thehackernews.com

Comentarios

comentarios

Dragora

Posts Relacionados

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Click to listen highlighted text!