Blog

APT41 desarrolla un nuevo Malware denominado como BIOPASS RAT

Los investigadores de la empresa de ciberseguridad Trend Micro, advierten sobre un nuevo malware que está afectando a las empresas de juegos de azar en línea en China, a través de un ataque para implementar Cobalt Strike o una puerta trasera basada en Python, denominada como BIOPASS RAT, la cual se aprovecha de las ventajas de un software de stream para capturar la pantalla de sus víctimas.

El ataque implica engañar a los visitantes del sitio web de apuestas para que descarguen una aplicación, que dentro de su código existe un malware camuflado como un instalador legítimo de aplicaciones populares, pero obsoletas como lo son Adobe Flash Player o Microsoft Silverlight.

Este ataque tiene más elección en las páginas de chat de soporte en línea de los sitios web que tienen trampas de explotación de código vía JavaScript, que se utiliza para entregar el malware a las víctimas.

«BIOPASS RAT posee características básicas que se encuentran en otro malware, como evaluación del sistema de archivos, acceso a escritorio remoto, exfiltración de archivos y ejecución de comandos vía shell«, señalaron los investigadores de Trend Micro en un análisis publicado el viernes. «También tiene la capacidad de comprometer la información privada de sus víctimas almacenadas en el navegadores web y de mensajería instantánea«.

Además de ofrecer una variedad de capacidades que se ejecutan en la gama típica de un spywares, BIOPASS está equipado para establecer y permitir la transmisión en vivo a un servicio en la nube bajo el control del atacante a través del Protocolo de mensajería en tiempo real (RTMP) utilizando OBS Studio, además de comunicarse con el command and control (C2) utilizando Socket.IO.

OBS Studio es un software de código abierto para grabar video y realizar transmisiones en vivo en diferentes plataformas existentes, como lo son Twitch, YouTube y etc. Es uno de los software de streaming más usando a nivel mundial, debido a su simplicidad y fácil customización.

El malware (el cual que se comenta que se encuentra en desarrollo activo) también se destaca por su enfoque en el robo de datos privados de navegadores web y aplicaciones de mensajería instantánea usadas principalmente por los usuarios de China continental, incluidos QQ Browser, 2345 Explorer, Sogou Explorer y 360 Safe Browser, WeChat, QQ y Aliwangwang.

No está claro del todo quién está detrás del desarrollo de este malware, pero los investigadores de Trend Micro comentaron en su blog oficial que encontraron indicios entre BIOPASS y el de los TTP a menudo asociados con Winnti Group (también conocido como APT41), un sofisticado grupo de operadores de amenaza chino especializado en ciberespionaje, basado en el uso de certificados robados y un binario de Cobalt Strike.

Además de ello, el mismo binario de Cobalt Strike también se ha conectado a un ciberataque dirigido a MonPass, una importante autoridad de certificación en Mongolia, a mediados de inicio del presente año en el cual se manipuló el software de instalación para instalar las cargas útiles de baliza de Cobalt Strike.

Más información:

https://www.trendmicro.com/en_us/research/21/g/biopass-rat-new-malware-sniffs-victims-via-live-streaming.html

https://therecord.media/malware-abuses-obs-live-streaming-software-to-record-victims-screens/

https://www.fireeye.com/blog/threat-research/2019/08/apt41-dual-espionage-and-cyber-crime-operation.html

Share on facebook
Share on linkedin
Share on twitter
Share on whatsapp

Artículos Relacionados

Ransomware

¿Qué es NO MORE RANSOM?

No More Ransom es un portal en línea lanzado en julio de 2016 y una asociación público-privada creada por las

Protege tus aplicaciones Web y API

Accede a una evaluación completamente funciona

La primera solución completa que cubre los errores de seguridad y fallas de la lógica empresarial en todo el SDLC
Ir al Demo
Protección de Dominios - Sendmarc
Evita y protege activamente los dominios de tu organización contra los ataques de suplantación de identidad y phishing
Más Info
Endpoint - Panda Security
Endpoint Protection Platform, EDR y Servicios de 100% Atestación y Threat Hunting integrado
Más Info

Últimos Artículos

Hablemos

Si tienes alguna duda o pregunta con nuestros servicios, puedes comunicarte directamente con nosotros o completar el formulario, y nos pondremos en contacto contigo en breve.

Email

contacto@cronup.com

Ubicación

Providencia, Santiago de Chile

Twitter

@Cronup_CyberSec

Linkedin

Cronup Ciberseguridad