BIOPASS-RAT spredt gjennom kompromitterte gamblingnettsteder
En ukjent trusselsaktør bruker en ny Python-basert nyttelast for å målrette brukere av kinesiske spillsider. Skadelig programvare spres via falske meldinger og popup-vinduer, som dukker opp på legitime nettsider - dette betyr at nettkriminelle har klart å trenge inn på sikkerheten til disse nettstedene. Det er viktig å legge til at de falske meldingene vanligvis dukker opp når brukeren prøver å få tilgang til live support-delen av de kompromitterte nettstedene - dette kan være den nøyaktige komponenten hvis sikkerhet har blitt brutt.
Se opp for Flash Player og Silverlight-instruksjoner - Det kan være BIOPASS-RATEN
Brukere av de kompromitterte nettstedene kan se et varsel om at de trenger å laste ned en oppdatering for Adobe Flash Player eller Microsoft Silverlight - apper som nå er utfaset. Imidlertid, i stedet for et legitimt installatør, ender brukerne med å hente en kopi av den farlige BIOPASS RAT. Denne eksterntrojanen (RAT) har mange funksjoner, inkludert en veldig overraskende komponent som strømmer skjermen på datamaskinen til angripere.
BIOPASS RAT har naturligvis funksjoner som er typiske for trojanere av denne typen. Operatørene kan få tilgang til og modifisere filsystemet, utføre eksterne kommandoer, stjele filer, ta skjermbilder og mer. Den overraskende delen er imidlertid bruken av Open Broadcaster Software (OBS) - et programvare ment for live streaming og videoopptak. Overraskende nok bruker de kriminelle den legitime programvarepakken til å sette opp en livestream av skjermen på det kompromitterte systemet. På toppen av dette kan BIOPASS RAT kapre data fra nettlesere og programvare som er populære i Kina - 2345 Explorer, Sogou Explorer, QQ Browser, 360 Chrome og andre.
Sist men ikke minst, gjør BIOPASS RAT sine angripere i stand til å injisere HTML- og JavaScript-ressurser på nettstedene som brukeren surfer på. Dette kan brukes til å utføre et veldig skjult mann-i-midten-angrep som stjeler påloggingsinformasjon eller annen informasjon. Selv om de eksakte gjerningsmennene til BIOPASS RAT ikke blir identifisert, mistenker forskere at Winnti-hackerne kan stå bak denne kampanjen og nyttelasten.