BIOPASS-skadlig programvara använder OBS Studio-streamingprogramvara för att spela in offerskärmar

Helga Smithjuli 13, 2021Senast uppdaterad: juli 13, 2021
247 1 läst minut

Trend Micro har upptäckt BIOPASS -skadlig kod som attackerar och spionerar på användare av kinesiska spelsajter. Forskarna spekulerar i att den välkända spionhackgruppen Winnti (APT41) kan ligga bakom skapandet av denna skadliga program.

BIOPASS är en fjärråtkomst -trojan (RÅTTA) skrivet i Python. Typiskt, den gömmer sig i de legitima installatörerna av Adobe Flash Player eller Microsoft Silverlight, som fortfarande används i Kina, även om de inte längre stöds i resten av världen.

Experter skriver att skadligt JavaScript används för att sprida skadlig kod, som finns på teknisk support eller chatt -sidor på kinesiska spelsajter. Det omdirigerar användare till sidor som erbjuder infekterade installatörer till potentiella offer. Om en användare föll för detta trick av cyberkriminella, BIOPASS trängde in i hans system.

BIOPASS-skadlig kod

Skadlig programvara skiljer sig lite från andra RAT -filer och har funktioner som filsystemutvärdering, fjärrskrivbordsåtkomst, filstjälning och körning av skalkommando. Skadlig programvara kan också äventyra den personliga informationen om offer genom att stjäla data från webbläsare och snabbmeddelanden (inklusive QQ Browser, 2345 Utforskare, Sogou Explorer och 360 Säker webbläsare, WeChat, QQ och Aliwangwang).

En intressant egenskap hos denna skadliga programvara är användningen av den populära streamerprogramvaran OBS Studio, som ofta används av användare av Twitch, Youtube, och så vidare. Angriparna använde RTMP i OBS Studio för att fånga användarens skärm och sända video direkt till kontrollpanelen för skadlig programvara.

Vi anser att BIOPASS RAT fortfarande utvecklas aktivt. Till exempel, några markörer som vi upptäckte under vår analys hänvisar till olika versioner av RAT -kod, till exempel “V2” eller “BPSV3”. Många av de laddare som vi hittade användes som standard för att ladda Cobalt Strike -skalkod istället för BIOPASS RAT -skadlig kod. vidare, BIOPASS RAT skapar också schemalagda uppgifter för att ladda Cobalt Strike -skalkoden under initialiseringen, vilket indikerar att den ondsinnade skådespelaren bakom attacken fortfarande starkt förlitar sig på Cobalt Strike.Trend Micro -experter skriver.

Intressant, Winnti -gruppen, som påstås vara ansvarig för att skapa skadlig programvara, är känd som en kinesisk cyberspionagrupp. Ibland, i syfte att få personlig vinning, Winnti arrangerar attacker mot spelbolag i Sydostasien. Eftersom attackerna i detta fall riktar sig mot kinesiska användare, forskarna är inte alltför säkra på deras tillskrivning.

Låt mig påminna dig om att jag också skrev det Kinesiska hackare täcker sina spår och tar bort skadlig kod några dagar före upptäckt.

Taggar
Helga Smithjuli 13, 2021Senast uppdaterad: juli 13, 2021
247 1 läst minut

Helga Smith

Jag var alltid intresserad av datavetenskap, särskilt datasäkerhet och temat, som kallas nuförtiden "datavetenskap", sedan mina tidiga tonåringar. Innan du kommer in i Virusborttagningsteamet som chefredaktör, Jag arbetade som cybersäkerhetsexpert i flera företag, inklusive en av Amazons entreprenörer. En annan upplevelse: Jag har undervisning vid universitet i Arden och Reading.

Lämna ett svar

Denna webbplats använder Akismet att minska mängden skräppost. Lär dig hur din kommentar data bearbetas.

Tillbaka till toppen