RAT (Remote Acces Trojan) reprezintă categoria de malware ce oferă unui atacator accesul la drepturile de administrator asupra computerului vizat. Acest tip de malware este distribuit adesea fie prin ascunderea sa în fișiere executabile care cer permisiuni de administrator, cum ar fi jocuri video sau alte aplicați sau prin atașamentele unor mesaje email în cadrul campaniilor de phising. Pe lângă faptul că atacatorul obține drepturi de administrator asupra calculatorului, acesta poate exploata stația infectată într-un botnet sau prin infectarea altor victime prin tehnici ce presupun impersonarea victimei.
BIOPASS este cel mai recent RAT descoperit, care combină eficient elemente și caracteristici împrumutate de la alte malware-uri de acest fel precum “Back Orifice”, “CrossRAT” sau “Blackshades”. În urma analizei nalware a fost identificat un task suplimentar prin care este descărcat un shellcode specific Cobal Strike, fiind astfel atribuit acestei grupări.
BIOPASS conține caracteristicile clasice ale unui RAT, cum ar fi exfiltrarea de date sau accesul de la distanță a desktop-ului, dar în plus, acest malware poate înregistra prin OBS Studio (aplicație pentru live stream sau înregistrare video) ecranul victimei, poate să obțină toate datele din browser, inclusiv mesajele trimise prin aplicații de comunicare și putând de asemenea să acceseze și camera web a victimei.
RAT-ul a fost identificat în China, mai exact pe platforme de jocuri de noroc, iar răspândirea lui s-a făcut printr-un atac de tip watering hole. Mai exact, atacatorii au inserat un script malițios în codul sursă al unor site-uri web compromise. Odată executat, script-ul încercă scanarea victimei prin request-uri HTTP către o serie de porturi, priliej cu care se verifică și dacă stația era deja infectată. Ulterior, BIOPASS RAT avea abilitatea să deschidă un serviciu HTTP pe stația victimă, conducând mai apoi traficul către o pagină ce distribuie un fișier infectat deseori ascuns într-un executabil al unei aplicații cunoscute precum Adobe Flash Player, aparent legitim pentru un utilizator fără prea multe cunoștințe tehnice.
Chiar dacă un malware de tip RAT nu reprezintă ceva nou, BIOPASS aduce elemente noi ce violează intimitatea victimei, accesând periferice precum camera web sau microfonul și în egală măsură conversațiile victimei. Utilizarea atacului de tip watering hole favorizează transmiterea sa, atacatorii identificând aplicațiile utilizate frecvent.
Dacă v-a plăcut acest articol, sau dacă doriți să vă implicați în proiectul SecurityPatch.ro, ne puteți contacta pe [email protected]. Ne găsești și pe Twitter sau Facebook.