BIOPASS -haittaohjelma käyttää OBS Studion suoratoisto -ohjelmistoa uhriruutujen tallentamiseen

Helga Smithheinäkuu 13, 2021Viimeksi päivitetty: heinäkuu 13, 2021
247 1 minuutti luettu

Trend Micro on löytänyt BIOPASS-haittaohjelma, joka hyökkää ja vakoilee kiinalaisten uhkapelisivustojen käyttäjiä. Tutkijat spekuloivat, että tunnettu vakoojahakkerointiryhmä Winnti (APT41) saattaa olla tämän haittaohjelman luomisen takana.

BIOPASS on etäkäyttötroijalainen (ROTTA) kirjoitettu Pythonilla. Tyypillisesti, se piiloutuu Adobe Flash Playerin tai Microsoft Silverlightin laillisten asennusohjelmien sisään, jotka ovat edelleen käytössä Kiinassa, vaikka niitä ei enää tueta muualla maailmassa.

Asiantuntijat kirjoittavat, että haittaohjelmien levittämiseen käytetään haitallista JavaScriptiä, jota isännöidään kiinalaisten uhkapelisivustojen teknisen tuen tai chat-sivuilla. Se ohjaa käyttäjät sivuille, jotka tarjoavat tartunnan saaneita asentajia mahdollisille uhreille. Jos käyttäjä rakastui tähän kyberrikollisten temppuun, BIOPASS tunkeutui hänen elimistöönsä.

BIOPASS -haittaohjelma

Haittaohjelmat eroavat vähän muista RAT-ohjelmista, ja niissä on esimerkiksi tiedostojärjestelmän arviointi, etätyöpöytäkäyttö, tiedostojen varastaminen ja komentotulkkikomentojen suorittaminen. Haittaohjelmat voivat myös vaarantaa uhrien henkilökohtaiset tiedot varastamalla tietoja selaimista ja pikaviestinnästä (mukaan lukien QQ-selain, 2345 tutkimusmatkailija, Sogou Explorer ja 360 Turvallinen selain, WeChat, QQ ja Aliwangwang).

Tämän haittaohjelman mielenkiintoinen ominaisuus on suositun striimausohjelmiston OBS Studio käyttö, jota Twitchin käyttäjät käyttävät usein, YouTube, ja niin edelleen. Hyökkääjät käyttivät RTMP:tä OBS Studiossa siepatakseen käyttäjän näytön ja lähettääkseen videon suoraan haittaohjelmien ohjauspaneeliin..

Katsomme, että BIOPASS-ROTTIA kehitetään edelleen aktiivisesti. Esimerkiksi, Jotkut analyysimme aikana löytämämme merkit viittaavat RAT-koodin eri versioihin, kuten "V2" tai "BPSV3". Monia löytämistämme latausohjelmista käytettiin Cobalt Strike -kuorikoodin lataamiseen oletusarvoisesti BIOPASS RAT -haittaohjelman sijaan. Lisäksi, BIOPASS RAT luo myös ajoitettuja tehtäviä Cobalt Strike -kuorikoodin lataamiseksi alustuksen aikana, Tämä osoittaa, että hyökkäyksen takana oleva pahantahtoinen toimija on edelleen vahvasti riippuvainen Cobalt Strikesta.Trend Micron asiantuntijat kirjoittavat.

Mielenkiintoista, Winnti-ryhmä, jonka väitetään olevan vastuussa haittaohjelman luomisesta, tunnetaan kiinalaisena kybervakoiluryhmänä. Joskus, henkilökohtaisen hyödyn saamiseksi, Winnti järjestää hyökkäyksiä rahapeliyhtiöitä vastaan ​​Kaakkois-Aasiassa. Koska tässä tapauksessa hyökkäykset kohdistuvat kiinalaisiin käyttäjiin, tutkijat eivät ole liian varmoja omistajuudestaan.

Haluan muistuttaa teitä siitä, että kirjoitin myös sen Kiinalaiset hakkerit peittävät jäljet ​​ja poistavat haittaohjelmat muutama päivä ennen havaitsemista.

Tunnisteet
Helga Smithheinäkuu 13, 2021Viimeksi päivitetty: heinäkuu 13, 2021
247 1 minuutti luettu

Helga Smith

Olin aina kiinnostunut tietojenkäsittelytieteistä, erityisesti tietoturva ja teema, jota kutsutaan nykyään "datatiede", jo varhaisesta teini-ikäisestäni. Ennen tulemista viruksenpoistotiimiin päätoimittajana, Olen työskennellyt kyberturvallisuuden asiantuntijana useissa yrityksissä, mukaan lukien yksi Amazonin urakoitsijoista. Toinen kokemus: Olen opettanut Ardenin ja Readingin yliopistoissa.

Jätä vastaus

Tämä sivusto käyttää Akismet roskapostin vähentämiseksi. Opi kommenttisi tietoja käsitellään.

Takaisin alkuun-painike