侵害されたギャンブルサイトを介したBIOPASSRATの広がり
未知の脅威アクターが、新しいPythonベースのペイロードを使用して、中国のギャンブルサイトのユーザーを標的にしています。マルウェアは、合法的なギャンブルサイトに表示される詐欺メッセージやポップアップを介して拡散しています。これは、サイバー犯罪者がなんとかしてこれらのWebサイトのセキュリティに侵入したことを意味します。ユーザーが侵害されたWebサイトのライブサポートセクションにアクセスしようとすると、通常、不正なメッセージが表示されることを追加することが重要です。これは、セキュリティが侵害された正確なコンポーネントである可能性があります。
FlashPlayerとSilverlightのプロンプトに注意してください-それはBIOPASSRATかもしれません
侵害されたサイトのユーザーには、Adobe FlashPlayerまたはMicrosoftSilverlightのアップデートをダウンロードする必要があるというアラートが表示される場合があります。これらのアプリは現在非推奨です。ただし、正規のインストーラーではなく、ユーザーは危険なBIOPASSRATのコピーを取得することになります。このリモートアクセストロイの木馬(RAT)には、侵入先のコンピューターの画面を攻撃者にストリーミングする非常に驚くべきコンポーネントなど、多くの機能が含まれています。
BIOPASS RATには、当然、この種のトロイの木馬に典型的な機能があります。そのオペレーターは、ファイルシステムへのアクセスと変更、リモートコマンドの実行、ファイルの盗用、スクリーンショットの取得などを行うことができます。ただし、驚くべき部分は、Open Broadcaster Software(OBS)の使用です。これは、ライブストリーミングとビデオ録画を目的としたソフトウェアです。驚いたことに、犯罪者は正規のソフトウェアパッケージを使用して、侵害されたシステムの画面のライブストリームを設定しています。さらに、BIOPASS RATは、中国で人気のあるWebブラウザーやソフトウェア(2345 Explorer、Sogou Explorer、QQ Browser、360 Chromeなど)からデータを乗っ取ることができます。
最後になりましたが、BIOPASS RATを使用すると、攻撃者はHTMLおよびJavaScriptリソースをユーザーが閲覧するWebサイトに挿入できます。これは、ログイン資格情報やその他の情報を盗む非常にステルスな中間者攻撃を実行するために使用される可能性があります。 BIOPASS RATの正確な加害者は特定されていませんが、研究者はWinntiハッカーがこのキャンペーンとペイロードの背後にいるのではないかと疑っています。