Les chercheurs en cybersécurité mettent en garde contre un nouveau malware qui frappe les sociétés de jeux en ligne en Chine via une attaque de trou d’eau pour déployer soit des balises Cobalt Strike, soit une porte dérobée basée sur Python auparavant non documentée appelée BIOPASS RAT qui profite de l’application de diffusion en direct d’Open Broadcaster Software (OBS) Studio pour capturer l’écran de ses victimes aux attaquants.
L’attaque consiste à tromper les visiteurs du site Web de jeux en téléchargeant un chargeur de logiciels malveillants camouflé en tant qu’installateur légitime pour des applications populaires mais obsolètes telles qu’Adobe Flash Player ou Microsoft Silverlight, uniquement pour que le chargeur agisse comme un canal pour récupérer les charges utiles de la prochaine étape.
Plus précisément, les pages de chat d’assistance en ligne des sites Web sont piégées avec du code JavaScript malveillant, qui est utilisé pour transmettre le logiciel malveillant aux victimes.
« BIOPASS RAT possède des fonctionnalités de base trouvées dans d’autres logiciels malveillants, telles que l’évaluation du système de fichiers, l’accès au bureau à distance, l’exfiltration de fichiers et l’exécution de commandes shell », chercheurs Trend Micro c’est noté dans une analyse publiée vendredi. « Il a également la capacité de compromettre les informations privées de ses victimes en volant les données du navigateur Web et du client de messagerie instantanée. »
OBS Studio est un logiciel open source pour l’enregistrement vidéo et la diffusion en direct, permettant aux utilisateurs de diffuser sur Twitch, YouTube et d’autres plateformes.
En plus de proposer un éventail de fonctionnalités qui exécutent la gamme typique de logiciels espions, BIOPASS est équipé pour établir une diffusion en direct vers un service cloud sous le contrôle de l’attaquant via le protocole de messagerie en temps réel (RTMP), en plus de communiquer avec le serveur de commande et de contrôle (C2) à l’aide du Socket.IO protocole.
Le malware, qui serait en cours de développement, se distingue également par son objectif de voler des données privées à partir de navigateurs Web et d’applications de messagerie instantanée principalement populaires en Chine continentale, notamment QQ Browser, 2345 Explorer, Sogou Explorer et 360 Safe Browser. WeChat, QQ et Aliwangwang.
On ne sait pas exactement qui se cache derrière cette souche de malware, mais les chercheurs de Trend Micro ont déclaré avoir trouvé des chevauchements entre BIOPASS et celui des TTP souvent associés au groupe Winnti (alias APT41), un groupe de piratage chinois sophistiqué spécialisé dans les attaques de cyberespionnage, basé sur l’utilisation de certificats volés et d’un binaire Cobalt Strike qui a été précédemment attribué à l’acteur menaçant.
De plus, le même binaire Cobalt Strike a également été connecté à une cyberattaque ciblant MonPass, une autorité de certification (CA) majeure en Mongolie, plus tôt cette année, dans laquelle son logiciel d’installation a été falsifié pour installer des charges utiles de balise Cobalt Strike sur des systèmes infectés.
« BIOPASS RAT est un type sophistiqué de malware qui est implémenté sous forme de scripts Python », ont déclaré les chercheurs. « Étant donné que le chargeur de logiciels malveillants a été livré sous forme d’exécutable déguisé en programme d’installation de mise à jour légitime sur un site Web compromis, […] il est recommandé de télécharger des applications uniquement à partir de sources fiables et de sites Web officiels pour éviter d’être compromis. »
