Il malware BIOPASS utilizza il software di streaming OBS Studio per registrare gli schermi delle vittime

Trend Micro ha scoperto Malware BIOPASS che attacca e spia gli utenti di siti di gioco cinesi. I ricercatori ipotizzano che il noto gruppo di hacker di spie Winnti (APT41) potrebbe essere dietro la creazione di questo malware.

BIOPASS è un Trojan di accesso remoto (RATTO) scritto in Python. Tipicamente, si nasconde all'interno dei programmi di installazione legittimi di Adobe Flash Player o Microsoft Silverlight, che sono ancora in uso in Cina, anche se non sono più supportati nel resto del mondo.

Gli esperti scrivono che JavaScript dannoso viene utilizzato per diffondere il malware, che è ospitato su supporto tecnico o pagine di chat di siti di gioco d'azzardo cinesi. Reindirizza gli utenti a pagine che offrono programmi di installazione infetti a potenziali vittime. Se un utente si è innamorato di questo trucco dei criminali informatici, BIOPASS è penetrato nel suo sistema.

Malware BIOPASS

Il malware differisce poco dagli altri RAT e ha funzionalità come la valutazione del file system, accesso desktop remoto, furto di file ed esecuzione di comandi di shell. Il malware può anche compromettere le informazioni personali delle vittime rubando dati da browser e messaggistica istantanea (compreso il browser QQ, 2345 Esploratore, Sogou Explorer e 360 Browser sicuro, WeChat, QQ e Aliwangwang).

Una caratteristica interessante di questo malware è l'uso del popolare software per streamer OBS Studio, che viene spesso utilizzato dagli utenti di Twitch, Youtube, e così via. Gli aggressori hanno utilizzato RTMP in OBS Studio per acquisire lo schermo dell'utente e trasmettere video direttamente al pannello di controllo del malware.

Consideriamo BIOPASS RAT ancora in fase di sviluppo attivo. Per esempio, alcuni marker che abbiamo scoperto durante la nostra analisi si riferiscono a diverse versioni del codice RAT, come "V2" o "BPSV3". Molti dei caricatori che abbiamo trovato sono stati utilizzati per caricare lo shellcode Cobalt Strike per impostazione predefinita invece del malware BIOPASS RAT. inoltre, BIOPASS RAT crea anche attività pianificate per caricare lo shellcode Cobalt Strike durante l'inizializzazione, indicando che l'attore malintenzionato dietro l'attacco fa ancora molto affidamento su Cobalt Strike.Gli esperti di Trend Micro scrivono.

interessante, il gruppo Winnti, che è presumibilmente responsabile della creazione del malware, è conosciuto come un gruppo di spionaggio informatico cinese. Qualche volta, con l'obiettivo di ottenere un guadagno personale, Winnti organizza attacchi alle società di gioco d'azzardo nel sud-est asiatico. Poiché in questo caso gli attacchi prendono di mira utenti cinesi, i ricercatori non sono troppo sicuri della loro attribuzione.

Vi ricordo che l'ho anche scritto Gli hacker cinesi coprono le loro tracce e rimuovono il malware pochi giorni prima del rilevamento.

Helga Smith

Sono sempre stato interessato all'informatica, in particolare la sicurezza dei dati e il tema, che si chiama oggi "scienza dei dati", dalla mia prima adolescenza. Prima di entrare nel team di rimozione virus come caporedattore, Ho lavorato come esperto di sicurezza informatica in diverse aziende, incluso uno degli appaltatori di Amazon. Un'altra esperienza: Ho l'insegnamento nelle università di Arden e Reading.

lascia un commento

Questo sito utilizza Akismet per ridurre lo spam. Scopri come il tuo commento dati vengono elaborati.

Pulsante Torna in alto