黑客通过中国在线赌博网站传播 BIOPASS 恶意软件

网络安全研究人员警告说,一种新的恶意软件正在通过水坑攻击来打击中国的在线赌博公司,以部署 Cobalt Strike 信标或以前未记录的基于 Python 的后门程序BIOPASS RAT,该后门利用 Open Broadcaster Software (OBS) Studio 的实时-流媒体应用程序来捕捉受害者的屏幕。

该攻击涉及欺骗游戏网站访问者下载伪装成 Adob​​e Flash Player 或 Microsoft Silverlight 等流行但已弃用的应用程序的合法安装程序的恶意软件加载程序,仅让加载程序充当获取下一阶段有效负载的管道。

具体来说,这些网站的在线支持聊天页面中存在恶意 JavaScript 代码的陷阱,用于将恶意软件传送给受害者。

“BIOPASS RAT 具有在其他恶意软件中发现的基本功能,例如文件系统评估、远程桌面访问、文件泄露和 shell 命令执行,”趋势科技研究人员在周五发布的分析中指出。“它还能够通过窃取网络浏览器和即时消息客户端数据来破坏受害者的私人信息。”

OBS Studio 是一款用于视频录制和直播的开源软件,使用户能够在 Twitch、YouTube 和其他平台上进行直播。

黑客通过中国在线赌博网站传播 BIOPASS 恶意软件

除了具有运行典型间谍软件范围的一系列功能外,BIOPASS 还配备了在攻击者的控制下通过实时消息传递协议 ( RTMP )建立到云服务的实时流媒体,以及与命令和控制 (command-and-control) 通信( C2) 服务器使用Socket.IO协议。

该恶意软件据称正在积极开发中,还因专注于窃取主要在中国大陆流行的网络浏览器和即时通讯应用程序(包括 QQ 浏览器、2345 资源管理器、搜狗浏览器和 360 安全浏览器)的私人数据而引人注目。微信、QQ、阿里旺旺。

黑客通过中国在线赌博网站传播 BIOPASS 恶意软件

目前尚不清楚究竟是谁在支持这种恶意软件,但趋势科技的研究人员表示,他们发现 BIOPASS 与通常与 Winnti Group(又名APT41)相关的 TTP 之间存在重叠,Winnti Group(又名APT41)是一个专门从事网络间谍攻击的复杂黑客组织,基于使用被盗证书和先前归因于威胁参与者的 Cobalt Strike 二进制文件。

此外,同一个 Cobalt Strike 二进制文件还与今年早些时候针对蒙古主要认证机构 (CA) MonPass的网络攻击有关,其中其安装程序软件被篡改以在受感染的系统上安装 Cobalt Strike 信标有效载荷。

“BIOPASS RAT 是一种复杂的恶意软件,它以 Python 脚本的形式实现,”研究人员说。“鉴于恶意软件加载程序是作为可执行文件在受感染网站上伪装成合法更新安装程序提供的,[…] 建议仅从受信任的来源和官方网站下载应用程序,以避免受到危害。”