BIOPASS RAT rozprzestrzenia się w zaatakowanych witrynach hazardowych
Nieznany cyberprzestępca wykorzystuje nowy ładunek oparty na Pythonie, aby atakować użytkowników chińskich witryn hazardowych. Złośliwe oprogramowanie rozprzestrzenia się za pośrednictwem fałszywych wiadomości i wyskakujących okienek, które pojawiają się na legalnych witrynach hazardowych – oznacza to, że cyberprzestępcom udało się w jakiś sposób przeniknąć zabezpieczenia tych witryn. Ważne jest, aby dodać, że oszukańcze wiadomości zwykle pojawiają się, gdy użytkownik próbuje uzyskać dostęp do sekcji wsparcia na żywo na zaatakowanych stronach internetowych – może to być dokładnie ten komponent, którego bezpieczeństwo zostało naruszone.
Uważaj na komunikaty Flash Player i Silverlight — to może być BIOPASS RAT
Użytkownicy zaatakowanych witryn mogą zobaczyć alert informujący, że muszą pobrać aktualizację dla Adobe Flash Player lub Microsoft Silverlight — aplikacji, które są teraz przestarzałe. Jednak zamiast legalnego instalatora użytkownicy pobierają kopię niebezpiecznego programu BIOPASS RAT. Ten trojan zdalnego dostępu (RAT) zawiera wiele funkcji, w tym bardzo zaskakujący komponent, który przesyła strumieniowo ekran zaatakowanego komputera do atakujących.
Oczywiście BIOPASS RAT posiada cechy typowe dla tego typu trojanów. Jego operatorzy mogą uzyskiwać dostęp do systemu plików i modyfikować go, wykonywać zdalne polecenia, kraść pliki, przechwytywać zrzuty ekranu i nie tylko. Zaskakującą częścią jest jednak użycie Open Broadcaster Software (OBS) – oprogramowania przeznaczonego do przesyłania strumieniowego na żywo i nagrywania wideo. Co zaskakujące, przestępcy wykorzystują legalny pakiet oprogramowania, aby skonfigurować transmisję na żywo ekranu zaatakowanego systemu. Ponadto BIOPASS RAT może przechwytywać dane z przeglądarek internetowych i oprogramowania popularnego w Chinach – 2345 Explorer, Sogou Explorer, QQ Browser, 360 Chrome i innych.
Wreszcie, BIOPASS RAT umożliwia atakującym wstrzykiwanie zasobów HTML i JavaScript do witryn przeglądanych przez użytkownika. Może to zostać wykorzystane do przeprowadzenia bardzo skrytego ataku typu man-in-the-middle, który kradnie dane logowania lub inne informacje. Chociaż nie zidentyfikowano dokładnych sprawców BIOPASS RAT, naukowcy podejrzewają, że za tą kampanią i ładunkiem mogą stać hakerzy Winnti.