El malware BIOPASS utiliza el software de transmisión OBS Studio para registrar las pantallas de las víctimas

Helga Smithjulio 13, 2021Última actualización: julio 13, 2021
247 1 minuto de lectura

Trend Micro ha descubierto Malware BIOPASS que ataca y espía a los usuarios de sitios de juego chinos. Los investigadores especulan que el conocido grupo de piratería de espías Winnti (APT41) puede estar detrás de la creación de este malware.

BIOPASS es un troyano de acceso remoto (RATA) escrito en Python. Típicamente, se esconde dentro de los instaladores legítimos de Adobe Flash Player o Microsoft Silverlight, que todavía están en uso en China, a pesar de que ya no se admiten en el resto del mundo.

Los expertos escriben que se utiliza JavaScript malicioso para propagar el malware, que está alojado en soporte técnico o páginas de chat de sitios de juegos de apuestas chinos. Redirige a los usuarios a páginas que ofrecen instaladores infectados a posibles víctimas.. Si un usuario se enamora de este truco de los ciberdelincuentes, BIOPASS penetró en su sistema.

Malware BIOPASS

El malware se diferencia poco de otras RAT y tiene características como la evaluación del sistema de archivos, acceso a escritorio remoto, robo de archivos y ejecución de comandos de shell. El malware también puede comprometer la información personal de las víctimas al robar datos de navegadores y mensajería instantánea. (incluido el navegador QQ, 2345 Explorador, Explorador de Sogou y 360 Navegador seguro, WeChat, QQ y Aliwangwang).

Una característica interesante de este malware es el uso del popular software de transmisión OBS Studio., que suelen utilizar los usuarios de Twitch, YouTube, y así. Los atacantes utilizaron RTMP en OBS Studio para capturar la pantalla del usuario y transmitir video directamente al panel de control de malware..

Consideramos que BIOPASS RAT aún se está desarrollando activamente. Por ejemplo, algunos marcadores que descubrimos durante nuestro análisis se refieren a diferentes versiones del código RAT, como "V2" o "BPSV3". Muchos de los cargadores que encontramos se utilizaron para cargar el código de shell Cobalt Strike de forma predeterminada en lugar del malware BIOPASS RAT. además, BIOPASS RAT también crea tareas programadas para cargar el código de shell Cobalt Strike durante la inicialización., lo que indica que el actor malicioso detrás del ataque todavía depende en gran medida de Cobalt Strike.Los expertos de Trend Micro escriben.

Curiosamente, el grupo Winnti, que es presuntamente responsable de la creación del malware, es conocido como un grupo de ciberespionaje chino. Algunas veces, con el objetivo de obtener beneficios personales, Winnti organiza ataques a empresas de juegos de azar en el sudeste asiático. Dado que en este caso los ataques están dirigidos a usuarios chinos, los investigadores no están muy seguros de su atribución.

Déjame recordarte que también escribí eso Los piratas informáticos chinos cubren sus pistas y eliminan el malware unos días antes de la detección.

Etiquetas
Helga Smithjulio 13, 2021Última actualización: julio 13, 2021
247 1 minuto de lectura

Helga Smith

Siempre me interesaron las ciencias de la computación., especialmente la seguridad de los datos y el tema, que se llama hoy en día "Ciencia de los datos", desde mi adolescencia. Antes de ingresar al equipo de eliminación de virus como editor en jefe, Trabajé como experto en ciberseguridad en varias empresas., incluido uno de los contratistas de Amazon. Otra experiencia: He enseñado en las universidades de Arden y Reading..

Deja una respuesta

Este sitio utiliza para reducir el spam Akismet. Aprender cómo se procesa sus datos comentario.

Botón volver arriba