ГлавнаябезопасностьВредоносное ПО BIOPASS: показывает прямую трансляцию с экрана ПК жертвы

Вредоносное ПО BIOPASS: показывает прямую трансляцию с экрана ПК жертвы

Хакеры взломали сайты азартных игр, чтобы доставить новый троян удаленного доступа (RAT) под названием BIOPASS, который позволяет в реальном времени отслеживать экран компьютера жертвы, злоупотребляя популярным программным обеспечением для потоковой передачи в реальном времени.

БИОПАСС

См. Также: Корпорация Майкрософт сертифицировала драйвер, содержащий вредоносные программы-руткиты.

В дополнение к необычной функциональности, которая выходит за рамки обычных функций, отображаемых в RAT, вредоносное ПО также может украсть личные данные из веб-браузеров и приложений для обмена мгновенными сообщениями.

Операторы BIOPASS, похоже, нацелены на посетителей сайтов онлайн-азартных игр в Китае. Они «добавили» сайт с кодом JavaScript, который обслуживает вредоносное ПО под видом установщиков для Adobe Flash Player или установщиков Microsoft Silverlight.

Adobe отказалась от Flash Player в конце 2020 года и запретила Flash-контент с 12 января, призывая пользователей удалить приложение из-за серьезных угроз безопасности.

Silverlight следует этому примеру, и Microsoft прекращает поддержку в конце этого года, 12 октября. В настоящее время фреймворк поддерживается только в Internet Explorer 11, и нет планов по продлению срока его службы.

Исследователи безопасности в Trend Micro обнаружили, что сценарий, восстановленный BIOPASS, проверяет, заражен ли посетитель, и обычно вставляется на страницу поддержки веб-чата целевого сайта.

См. Также: Joker Malware снова атакует: немедленно удалите эти 8 приложений для Android

Фактор угрозы достаточно осторожен, чтобы предоставить законные установщики для Flash Player и Silverlight, приложений, загруженных с официальных веб-сайтов или хранящихся в облачном хранилище Alibaba злоумышленника.

Троян удаленного доступа BIOPASS хранится на том же сайте вместе с DLL и библиотеками, необходимыми для запуска сценариев в системах, где язык Python не существует.

Исследователи отмечают, что вредоносное ПО активно растет, и что по умолчанию загрузчик использовал шеллкод Cobalt Strike, а не BIOPASS RAT.

См. Также: Вредоносная программа Crackonosh: злоупотребляют безопасным режимом Windows для майнинга криптовалют

Живой экран через программное обеспечение с открытым исходным кодом

BIOPASS имеет все функции, которые обычно встречаются в троянах удаленного доступа, такие как оценка файловой системы, доступ к удаленному рабочему столу и т. Д. эксфильтрация файлов, делая снимки экрана и выполняя команды оболочки.

Однако он также загружает FFmpeg, необходимый для записи, преобразования и потоковой передачи аудио и видео, а также программное обеспечение Open Broadcaster, решение с открытым исходным кодом для записи видео и потоковой передачи в реальном времени.

Злоумышленник может использовать один из двух кадров для наблюдения за рабочим столом зараженной системы и для потоковой передачи видео в облако, что позволяет им отслеживать поток в реальном времени, подключившись к панели управления BIOPASS.

Нет особой мысли о том, кто стоит за BIOPASS RAT, но Trend Micro нашел ссылки, показывающие китайскую хакерскую группу Winnti, также известную как APT41.

Источник информации: bleepingcomputer.com

Teo Ehchttps://www.secnews.gr
Будь ограниченным тиражом.

ЖИВЫЕ НОВОСТИ