Новое вредоносное ПО BIOPASS транслирует прямые трансляции с экрана компьютера жертвы

46
 компьютерных игр для детей
компьютерных игр для детей

Хакеры взломали сайты азартных игр, чтобы доставить новый троян удаленного доступа (RAT) под названием BIOPASS, который позволяет наблюдать за экраном компьютера жертвы в режиме реального времени, злоупотребляя популярным программным обеспечением для потоковой передачи в реальном времени.

Помимо необычной функции, которая дополняет обычные функции RAT, вредоносная программа также может красть личные данные из веб-браузеров и приложений для обмена мгновенными сообщениями.

Активно развивается

Операторы BIOPASS на базе Python, похоже, нацелены на посетителей сайтов, посвященных онлайн-гемблингу в Китае. Они внедрили на сайты код JavaScript, который обслуживает вредоносное ПО под видом установщиков для Adobe Flash Player или установщиков Microsoft Silverlight.

Adobe отказалась от Flash Player в конце 2020 года и блокирует запуск Flash-контента с 12 января, призывая пользователей удалить приложение из-за высоких рисков безопасности.

Silverlight идет по тому же пути, и Microsoft прекращает поддержку в конце этого года, 12 октября. В настоящее время фреймворк поддерживается только в Internet Explorer 11, и планов по продлению срока его службы нет.

Исследователи безопасности в Trend Micro обнаружили, что сценарий, извлекающий BIOPASS, проверяет, был ли посетитель заражен, и обычно вводится на страницу чата онлайн-поддержки целевого сайта.

«Если сценарий подтверждает, что посетитель еще не был заражен, он заменит исходное содержимое страницы собственным содержимым злоумышленников. На новой странице будет отображаться сообщение об ошибке с сопроводительной инструкцией, предлагающей посетителям веб-сайта загрузить либо установщик Flash, либо установщик Silverlight, оба из которых являются вредоносными загрузчиками »- Trend Micro

Злоумышленник достаточно осторожен, чтобы предоставить законные установщики для Flash Player и Silverlight, приложений, которые загружаются с официальных веб-сайтов или хранятся в облачном хранилище Alibaba злоумышленника.

Троян удаленного доступа BIOPASS хранится там же, вместе с DLL и библиотеками, необходимыми для запуска скриптов в системах, где отсутствует язык Python.

Исследователи отмечают, что вредоносная программа активно разрабатывается и что загрузчик по умолчанию использует шелл-код Cobalt Strike, а не BIOPASS RAT.

Живой экран через программное обеспечение с открытым исходным кодом

BIOPASS имеет все возможности, типичные для троянов удаленного доступа, такие как оценка файловой системы, доступ к удаленному рабочему столу, эксфильтрация файлов, создание снимков экрана и выполнение команд оболочки.

Однако он также загружает FFmpeg , необходимый для записи, преобразования и потоковой передачи аудио и видео, а также программное обеспечение Open Broadcaster Software , решение с открытым исходным кодом для записи видео и потоковой передачи в реальном времени.

Злоумышленник может использовать любую из двух платформ для мониторинга рабочего стола зараженной системы и потоковой передачи видео в облако, что позволяет им просматривать канал в реальном времени, войдя в панель управления BIOPASS.

Анализируя вредоносное ПО, исследователи обнаружили команду, которая перечисляет папки установки для нескольких приложений для обмена сообщениями, среди которых WeChat, QQ и Aliwangwang.

BIOPASS также извлекает конфиденциальные данные — файлы cookie и логины — из нескольких веб-браузеров (Google Chrome, Microsoft Edge Beta, 360 Chrome, QQ Browser, 2345 Explorer, Sogou Explorer и 360 Safe Browser).

Хотя это и не реализовано в анализируемой версии, исследователи обнаружили плагин Python, который украл историю чата из мессенджера WeChat для Windows.

Другой плагин содержал несколько скриптов Python для заражения веб-серверов с помощью атаки межсайтового скриптинга (XSS). Это позволит злоумышленнику внедрить свои скрипты в ответ веб-браузера жертвы, позволяя злоумышленнику манипулировать ресурсами JavaScript и HTML.

Нет точной атрибуции того, кто стоит за BIOPASS RAT, но Trend Micro обнаружила ссылки, указывающие на китайскую хакерскую группу Winnti, также известную как APT41.

Последнее обновление 1 год назад — GameZoom

0 0 голоса
Рейтинг статьи
Подписаться
Уведомить о
guest

0 комментариев
Межтекстовые Отзывы
Посмотреть все комментарии