BIOPASS kötü amaçlı yazılımı, kurban ekranlarını kaydetmek için OBS Studio akış yazılımını kullanır

Trend Mikro keşfetti Çin kumar sitelerinin kullanıcılarına saldıran ve casusluk yapan BIOPASS kötü amaçlı yazılımı. Araştırmacılar, ünlü casus hack grubu Winnti'nin (APT41) bu kötü amaçlı yazılımın yaratılmasının arkasında olabilir.

BIOPASS, Uzaktan Erişim Truva Atı'dır (FARE) Python'da yazılmış. Tipik, Adobe Flash Player veya Microsoft Silverlight'ın yasal yükleyicilerinin içinde gizlenir, Çin'de halen kullanımda olan, artık dünyanın geri kalanında desteklenmeseler bile.

Uzmanlar, kötü amaçlı JavaScript'in kötü amaçlı yazılımı yaymak için kullanıldığını yazıyor, Çin kumar sitelerinin teknik destek veya sohbet sayfalarında barındırılan. Kullanıcıları, potansiyel kurbanlara virüslü yükleyiciler sunan sayfalara yönlendirir.. Bir kullanıcı siber suçluların bu hilesine kapılırsa, BIOPASS sistemine sızdı.

BIOPASS kötü amaçlı yazılımı

Kötü amaçlı yazılım, diğer RAT'lerden çok az farklıdır ve dosya sistemi değerlendirmesi gibi özelliklere sahiptir., uzak masaüstü erişimi, dosya çalma ve kabuk komutu yürütme. Kötü amaçlı yazılım ayrıca tarayıcılardan ve anlık mesajlaşma programlarından veri çalarak kurbanların kişisel bilgilerini tehlikeye atabilir. (QQ Tarayıcı dahil, 2345 Gezgin, Sogou Gezgini ve 360 Güvenli Tarayıcı, WeChat, QQ ve Aliwangwang).

Bu kötü amaçlı yazılımın ilginç bir özelliği, popüler yayıncı yazılımı OBS Studio'nun kullanılmasıdır., Twitch kullanıcıları tarafından sıklıkla kullanılan, Youtube, ve bunun gibi. Saldırganlar, kullanıcının ekranını yakalamak ve videoyu doğrudan kötü amaçlı yazılım kontrol paneline yayınlamak için OBS Studio'da RTMP kullandı..

BIOPASS RAT'ın hala aktif olarak geliştirildiğini düşünüyoruz. Örneğin, analizimiz sırasında keşfettiğimiz bazı işaretçiler, RAT kodunun farklı sürümlerine atıfta bulunur, “V2” veya “BPSV3” gibi. Bulduğumuz yükleyicilerin çoğu, varsayılan olarak BIOPASS RAT kötü amaçlı yazılımı yerine Kobalt Strike kabuk kodunu yüklemek için kullanıldı. Üstelik, BIOPASS RAT, başlatma sırasında Cobalt Strike kabuk kodunu yüklemek için zamanlanmış görevler de oluşturur., saldırının arkasındaki kötü niyetli aktörün hala büyük ölçüde Cobalt Strike'a güvendiğini belirten.Trend Micro uzmanları yazıyor.

ilginç bir şekilde, Winnti grubu, kötü amaçlı yazılımın oluşturulmasından sorumlu olduğu iddia edilen, Çinli siber casusluk grubu olarak bilinir. Ara sıra, kişisel kazanç sağlamak amacıyla, Winnti, Güneydoğu Asya'daki kumar şirketlerine saldırılar düzenliyor. Bu durumda saldırılar Çinli kullanıcıları hedef aldığından, araştırmacılar atıflarından çok emin değiller.

şunu da yazdığımı hatırlatayım Çinli bilgisayar korsanları, tespit edilmeden birkaç gün önce izlerini kapatıyor ve kötü amaçlı yazılımları kaldırıyor.

Helga Smith

Bilgisayar bilimlerine her zaman ilgi duymuşumdur., özellikle veri güvenliği ve tema, günümüzde denilen "veri bilimi", ilk gençlik yıllarımdan beri. Baş Editör olarak Virüs Temizleme ekibine gelmeden önce, Birkaç şirkette siber güvenlik uzmanı olarak çalıştım, Amazon'un yüklenicilerinden biri dahil. Başka bir deneyim: Arden ve Reading üniversitelerinde öğretmenlik var.

Cevap bırakın

Bu site spam azaltmak için Akismet kullanır. Yorumunuz verileri işlenirken öğrenin.

Başa dön tuşu