Le malware BIOPASS diffuse en direct l’écran de la victime

0

Les pirates informatiques ont compromis les sites de jeu pour propager un nouveau cheval de Troie d’accès à distance (RAT) appelé BIOPASS qui permet de regarder l’écran de l’ordinateur de la victime en temps réel en abusant d’un logiciel de diffusion en direct.

Outre la fonctionnalité inhabituelle, qui s’ajoute aux fonctions habituelles des RAT, le logiciel malveillant peut également voler des données privées à partir de navigateurs Web et d’applications de messagerie instantanée.

Développé activement

Les opérateurs du BIOPASS codé en Python semblent cibler les visiteurs de sites appartenant au jeux d’argent en ligne en Chine. Ils ont injecté dans les sites du code JavaScript qui sert le malware sous le couvert d’installateurs pour Adobe Flash Player ou Microsoft Silverlight.

BIOPASS

Adobe a abandonné Flash Player fin 2020 et bloque l’exécution de contenu Flash depuis le 12 janvier, recommandant aux utilisateurs de supprimer l’application en raison de risques de sécurité élevés.

Silverlight suit le même chemin, Microsoft mettant fin au support plus tard cette année, le 12 octobre. Le framework n’est actuellement pris en charge que sur Internet Explorer 11 et il n’est pas prévu de prolonger sa durée de vie.

Les chercheurs en sécurité de Trend Micro ont découvert que le script de récupération de BIOPASS vérifie si le visiteur a été infecté et qu’il est généralement injecté dans la page de discussion en ligne du site cible.

« Si le script confirme que le visiteur n’a pas encore été infecté, il remplacera alors le contenu de la page d’origine par le propre contenu des attaquants. La nouvelle page affichera un message d’erreur accompagné d’une instruction indiquant aux visiteurs du site Web de télécharger soit un programme d’installation Flash, soit un programme d’installation Silverlight, qui sont tous deux des chargeurs malveillants.

 Trend Micro

Le pirate informatique est suffisamment prudent pour fournir les programmes d’installation légitimes de Flash Player et Silverlight, les applications étant téléchargées à partir des sites Web officiels ou stockées sur le stockage en nuage d’Alibaba de l’attaquant.

Le cheval de Troie d’accès à distance BIOPASS est stocké au même endroit, avec la DLL et les bibliothèques nécessaires pour exécuter des scripts sur des systèmes où le langage Python n’est pas présent.

Les chercheurs notent que le malware est activement développé et que la charge utile par défaut du chargeur était le shellcode Cobalt Strike, et non le RAT BIOPASS.

Écran en direct via un logiciel open source

BIOPASS possède toutes les fonctionnalités généralement observées dans les chevaux de Troie d’accès à distance, telles que l’évaluation du système de fichiers, l’accès au bureau à distance, l’exfiltration de fichiers, la prise de captures d’écran et l’exécution de commandes shell.

Cependant, il télécharge également FFmpeg qui est nécessaire pour enregistrer, convertir et diffuser de l’audio et de la vidéo, ainsi que le logiciel Open Broadcaster, une solution open source pour l’enregistrement vidéo et la diffusion en direct.

L’attaquant peut utiliser l’un des deux frameworks pour surveiller le bureau d’un système infecté et diffuser la vidéo dans le cloud, ce qui lui permet de regarder le flux en temps réel en se connectant au panneau de configuration de BIOPASS.

BIOPASS

Lors de l’analyse du malware, les chercheurs ont trouvé une commande qui énumère les dossiers d’installation de plusieurs applications de messagerie, dont WeChat, QQ et Aliwangwang.

BIOPASS extrait également des données sensibles – cookies et identifiants – de plusieurs navigateurs Web (Google Chrome, Microsoft Edge Beta, 360 Chrome, QQ Browser, 2345 Explorer, Sogou Explorer et 360 Safe Browser).

Bien qu’il n’ait pas été implémenté dans la version analysée, les chercheurs ont trouvé un plugin en Python qui a volé l’historique des discussions de WeChat pour Windows.

Un autre plugin contenait plusieurs scripts Python pour infecter les serveurs Web via une attaque de script intersite (XSS). Cela permettrait au pirate informatique d’injecter ses scripts dans la réponse du navigateur Web de la victime, laissant l’attaquant manipuler les ressources JavaScript et HTML.

Il n’y a pas d’attribution précise sur qui se cache derrière le RAT BIOPASS, mais Trend Micro a trouvé des liens pointant vers le groupe de hackers chinois Winnti, également connu sous le nom d’APT41.

N’oubliez pas de jeter un coup d’œil à nos bons plans.

Laisser un commentaire