Peretas Menyebarkan Malware BIOPASS melalui Situs Perjudian Online China Chinese

Peretas Menyebarkan Malware BIOPASS melalui Situs Perjudian Online China Chinese

Peneliti keamanan siber memperingatkan tentang malware baru yang menyerang perusahaan perjudian online di China melalui serangan lubang air untuk menyebarkan suar Cobalt Strike atau backdoor berbasis Python yang sebelumnya tidak terdokumentasi yang disebut TIKUS BIOPASS yang memanfaatkan aplikasi streaming langsung Open Broadcaster Software (OBS) Studio untuk menangkap layar korbannya ke penyerang.

Serangan tersebut melibatkan penipuan pengunjung situs web game agar mengunduh pemuat malware yang disamarkan sebagai penginstal sah untuk aplikasi populer tetapi tidak digunakan lagi seperti Adobe Flash Player atau Microsoft Silverlight, hanya agar pemuat bertindak sebagai saluran untuk mengambil muatan tahap berikutnya.

Bacaan Lainnya

Secara khusus, halaman obrolan dukungan online situs web tersebut dijebak dengan kode JavaScript berbahaya, yang digunakan untuk mengirimkan malware kepada para korban.

“BIOPASS RAT memiliki fitur dasar yang ditemukan di malware lain, seperti penilaian sistem file, akses desktop jarak jauh, eksfiltrasi file, dan eksekusi perintah shell,” peneliti Trend Micro dicatat dalam sebuah analisis yang diterbitkan Jumat. “Ini juga memiliki kemampuan untuk mengkompromikan informasi pribadi korbannya dengan mencuri browser web dan data klien pesan instan.”

OBS Studio adalah perangkat lunak sumber terbuka untuk perekaman video dan streaming langsung, memungkinkan pengguna untuk melakukan streaming ke Twitch, YouTube, dan platform lainnya.

Selain menampilkan serangkaian kemampuan yang menjalankan keseluruhan spyware, BIOPASS dilengkapi untuk membuat streaming langsung ke layanan cloud di bawah kendali penyerang melalui Protokol Pesan Real-Time (RTMP), selain berkomunikasi dengan server perintah-dan-kontrol (C2) menggunakan Socket.IO protokol.

Malware, yang dikatakan sedang dalam pengembangan aktif, juga terkenal karena fokusnya pada mencuri data pribadi dari browser web dan aplikasi pesan instan yang terutama populer di Daratan China, termasuk QQ Browser, 2345 Explorer, Sogou Explorer, dan 360 Safe Browser, WeChat, QQ, dan Aliwangwang.

Tidak jelas siapa yang berada di balik jenis malware ini, tetapi peneliti Trend Micro mengatakan mereka menemukan tumpang tindih antara BIOPASS dan TTP yang sering dikaitkan dengan Grup Winnti (alias APT41), sebuah kelompok peretasan canggih Tiongkok yang mengkhususkan diri dalam serangan spionase dunia maya, berdasarkan penggunaan sertifikat curian dan biner Cobalt Strike yang sebelumnya dikaitkan kepada pelaku ancaman.

Terlebih lagi, biner Cobalt Strike yang sama juga telah terhubung ke serangan cyber yang menargetkan MonPass, otoritas sertifikasi utama (CA) di Mongolia, awal tahun ini di mana perangkat lunak penginstalnya dirusak untuk menginstal muatan suar Cobalt Strike pada sistem yang terinfeksi.

“BIOPASS RAT adalah jenis malware canggih yang diimplementasikan sebagai skrip Python,” kata para peneliti. “Mengingat bahwa pemuat malware dikirimkan sebagai executable yang menyamar sebagai penginstal pembaruan yang sah di situs web yang disusupi, […] disarankan untuk mengunduh aplikasi hanya dari sumber tepercaya dan situs web resmi agar tidak disusupi.”

'+n+'...
'+a+"...
"}s+="",document.getElementById("result").innerHTML=s}}),t=!0)})}); //]]>

Pos terkait