BIOPASSRAT
またもや新しいマルウェアが確認されています。
Pythonで書かれたバックドア機能を有するマルウェアです。
名前はBIOPASSRATです。
感染していく流れはこうです。
- Webのオンラインサポートチャットにいくと仕掛けられたJavaScriptが読み込まれる
- そのJavaScriptはローダーになっていて、Adobe FlashPlayerやMicrosoftSilverlightなどの人気があるが非推奨のアプリの正規のインストーラーをダウンロードする
- そのインストーラーは加工されていて正規のアプリケーションのインストールに加えてマルウェアダウンローダーの機能がある
- マルウェアダウンローダーがマルウェア本体をもってくる
- マルウェア本体(BIOPASSRAT)がPCに展開される
BIOPASSRATには次のような機能があります。
- ファイルシステム読み取り機能
- リモートデスクトップアクセス機能
- ファイルの抽出機能
- シェルコマンドの実行機能
- Webブラウザのデータ読み取り機能
- インスタントメッセージングクライアントのデータ読み取り機能
- コマンドアンドコントロールとの通信機能
このマルウェアは現在活発に更新が続いていて、QQブラウザー、2345エクスプローラー、Sogouエクスプローラー、360セーフブラウザー、WeChat、Aliwangwangなど、中国本土で主に人気のあるWebブラウザーやインスタントメッセージングアプリから個人データを盗む機能が充実してきています。
このマルウェアに関連付けられたグループは特定には至っていませんが、トレンドマイクロの見解ではWinnti Group(別名APT41)に関連することが多いTTPとの重複が確認されているということです。
ここのところ類似性のある情報が続いていますが、侵害されたサイトからのファイルの入手とその実行という行動がトリガーとなっているものが多いように思われます。
すでに皆さんの認識されている通りに思いますが、ファイルの入手は正規のサイトからということを再度心掛ける必要がありそうです。
参考記事(外部リンク):Hackers Spread BIOPASS Malware via Chinese Online Gambling
Sites
thehackernews.com/2021/07/hackers-spread-biopass-malware-via.html
