BIOPASS 惡意軟件使用 OBS Studio 流媒體軟件記錄受害者屏幕

趨勢科技 發現了 攻擊和監視中國博彩網站用戶的 BIOPASS 惡意軟件. 研究人員推測,知名間諜黑客組織 Winnti (APT41) 可能是創建此惡意軟件的幕後黑手.

BIOPASS 是一種遠程訪問木馬 (鼠) 用 Python 編寫. 通常, 它隱藏在 Adob​​e Flash Player 或 Microsoft Silverlight 的合法安裝程序中, 在中國仍在使用, 即使他們不再在世界其他地方得到支持.

專家寫道,惡意 JavaScript 用於傳播惡意軟件, 託管在中國博彩網站的技術支持或聊天頁面上. 它將用戶重定向到向潛在受害者提供受感染安裝程序的頁面. 如果用戶中了網絡罪犯的這個把戲, BIOPASS 侵入了他的系統.

BIOPASS 惡意軟件

惡意軟件與其他 RAT 差別不大,並具有文件系統評估等功能, 遠程桌面訪問, 文件竊取和 shell 命令執行. 該惡意軟件還可以通過從瀏覽器和即時通訊程序中竊取數據來洩露受害者的個人信息 (包括QQ瀏覽器, 2345 探索者, 搜狗瀏覽器和 360 安全瀏覽器, 微信, QQ與娛樂).

該惡意軟件的一個有趣特徵是使用流行的流媒體軟件 OBS Studio, Twitch 用戶經常使用, YouTube, 等等. 攻擊者在 OBS Studio 中使用 RTMP 捕獲用戶屏幕並將視頻直接廣播到惡意軟件控制面板.

我們認為 BIOPASS RAT 仍在積極開發中. 例如, 我們在分析過程中發現的一些標記指的是不同版本的 RAT 代碼, 例如“V2”或“BPSV3”. 我們發現的許多加載程序默認用於加載 Cobalt Strike shellcode,而不是 BIOPASS RAT 惡意軟件. 此外, BIOPASS RAT 還創建計劃任務以在初始化期間加載 Cobalt Strike shellcode, 表明攻擊背後的惡意行為者仍然嚴重依賴 Cobalt Strike.趨勢科技專家寫道.

有趣的是, 溫蒂集團, 據稱負責創建惡意軟件, 被稱為中國網絡間諜組織. 有時, 以謀取私利為目的, Winnti 安排襲擊東南亞博彩公司. 因為在這種情況下,攻擊針對的是中國用戶, 研究人員不太確定他們的歸因.

讓我提醒你,我也寫過 中國黑客在被發現前幾天掩蓋了他們的踪跡並刪除了惡意軟件.

赫爾加·史密斯

我一直對計算機科學感興趣, 特別是數據安全和主題, 現在被稱為 "數據科學", 從我十幾歲起. 在加入病毒清除團隊擔任主編之前, 我曾在多家公司擔任網絡安全專家, 包括亞馬遜的一名承包商. 另一種體驗: 我在雅頓大學和雷丁大學任教.

發表評論

本網站使用的Akismet,以減少垃圾郵件. 了解您的意見如何處理數據.

返回頂部按鈕