BIOPASSRAT

またもや新しいマルウェアが確認されています。
Pythonで書かれたバックドア機能を有するマルウェアです。
名前はBIOPASSRATです。

感染していく流れはこうです。

  • Webのオンラインサポートチャットにいくと仕掛けられたJavaScriptが読み込まれる
  • そのJavaScriptはローダーになっていて、Adobe FlashPlayerやMicrosoftSilverlightなどの人気があるが非推奨のアプリの正規のインストーラーをダウンロードする
  • そのインストーラーは加工されていて正規のアプリケーションのインストールに加えてマルウェアダウンローダーの機能がある
  • マルウェアダウンローダーがマルウェア本体をもってくる
  • マルウェア本体(BIOPASSRAT)がPCに展開される

BIOPASSRATには次のような機能があります。

  • ファイルシステム読み取り機能
  • リモートデスクトップアクセス機能
  • ファイルの抽出機能
  • シェルコマンドの実行機能
  • Webブラウザのデータ読み取り機能
  • インスタントメッセージングクライアントのデータ読み取り機能
  • コマンドアンドコントロールとの通信機能

このマルウェアは現在活発に更新が続いていて、QQブラウザー、2345エクスプローラー、Sogouエクスプローラー、360セーフブラウザー、WeChat、Aliwangwangなど、中国本土で主に人気のあるWebブラウザーやインスタントメッセージングアプリから個人データを盗む機能が充実してきています。

このマルウェアに関連付けられたグループは特定には至っていませんが、トレンドマイクロの見解ではWinnti Group(別名APT41)に関連することが多いTTPとの重複が確認されているということです。

ここのところ類似性のある情報が続いていますが、侵害されたサイトからのファイルの入手とその実行という行動がトリガーとなっているものが多いように思われます。
すでに皆さんの認識されている通りに思いますが、ファイルの入手は正規のサイトからということを再度心掛ける必要がありそうです。

参考記事(外部リンク):Hackers Spread BIOPASS Malware via Chinese Online Gambling
Sites

thehackernews.com/2021/07/hackers-spread-biopass-malware-via.html

一緒によく読まれている記事

最新の脅威情報
をお届け

BLOGブログ

情報セキュリティに対する啓蒙のため、
3つのメディアを運用し、
情報発信を行っています。

わたしたちはサイバー領域や
認知領域の未知なる脅威に、
テクノロジーとインテリジェンスで対抗します。

私たちが選ばれる理由

CONTACT リスクマネジメントサービスの
ご相談窓口

コンステラ セキュリティ ジャパンは
最先端のサービスを
お客様のニーズに
カスタマイズして提供し、
効果が出るまで寄り添います。