新恶意软件 BIOPASS:通过滥用 OBS Studio 的框架来嗅探受害者的屏幕
趋势科技的研究人员发现了一种名为 BIOPASS 的新恶意软件,它通过滥用Open Broadcaster Software (OBS) Studio的框架来嗅探受害者的屏幕 。
新恶意软件背后的威胁行为者在中国赌博相关网站的支持聊天页面上植入了恶意 JavaScript 代码,以将访问者重定向到提供恶意安装程序的页面。
这种新的恶意软件被用于针对中国在线赌博公司的水坑攻击,黑客入侵这些网站以提供伪装成 Adobe Flash Player 或 Microsoft Silverlight 合法安装程序的恶意软件加载程序。
对加载程序的分析表明,它加载了 Cobalt Strike shellcode 或专家跟踪为 BIOPASS RAT 的新 Python 后门。
BIOPASS RAT 实现了常见的 RAT 功能,例如文件系统评估、远程桌面访问、文件泄露和 shell 命令执行。该恶意软件还能够从安装在受害者设备上的网络浏览器和即时消息客户端窃取私人信息。
恶意代码利用 OBS studio 的 RTMP(实时消息协议)流媒体功能来记录用户的屏幕并将其广播到攻击者的控制面板。
“让 BIOPASS RAT 特别有趣的是,它可以通过滥用Open Broadcaster Software (OBS) Studio的框架来嗅探受害者的屏幕,这是 一种流行的直播和视频录制应用程序,通过实时消息建立到云服务的直播协议 (RTMP)。此外,该攻击还滥用阿里云(阿里云)的对象存储服务(OSS)来托管 BIOPASS RAT Python 脚本以及存储从受害者那里泄露的数据。” 阅读趋势科技发布的报告。
专家注意到,多个 BIOPASS RAT 加载程序二进制文件都使用两个可能从韩国和台湾的游戏工作室窃取的有效证书进行签名,这种策略以前 与 Winnti Group 为签署其恶意软件而进行的网络间谍活动有关。
这符合该组织的作案手法,因为 众所周知,APT41在其正常工作时间从事网络间谍活动,然后对东南亚的在线游戏公司进行出于经济动机的攻击,以谋取个人利益。专家还发现了Derusbi恶意软件样本的服务器端变体,它是 Winnti 武器库的一部分,使用其中一个被盗证书签名。
“BIOPASS RAT 是一种复杂的恶意软件,以 Python 脚本的形式实现。它具有许多功能,例如能够使用计划任务作为在受感染系统中保持持久性的一种方法。该恶意软件滥用公开可用的工具和云服务进行恶意行为。” 总结了趋势科技发布的报告,其中包括妥协指标 (IoC)。
