BIOPASS-RATT sprids genom kompromissade spelwebbplatser
En okänd hotaktör använder en ny Python-baserad nyttolast för att rikta sig till användare av kinesiska spelwebbplatser. Skadlig kod sprids via bedrägliga meddelanden och popup-fönster, som dyker upp på legitima spelwebbplatser - det betyder att cyberbrottslingar har lyckats på något sätt tränga igenom säkerheten på dessa webbplatser. Det är viktigt att tillägga att de bedrägliga meddelandena vanligtvis dyker upp när användaren försöker komma åt avsnittet om live support på de komprometterade webbplatserna - detta kan vara den exakta komponenten vars säkerhet har brutits.
Se upp för Flash Player och Silverlight-meddelanden - Det kan vara BIOPASS-RATTEN
Användare av de komprometterade webbplatserna kan se en varning som säger att de behöver ladda ner en uppdatering för Adobe Flash Player eller Microsoft Silverlight - appar som nu är utfasade. Istället för ett legitimt installationsprogram hämtar användarna dock en kopia av den farliga BIOPASS RAT. Den här fjärråtkomsttrojanen (RAT) har många funktioner, inklusive en mycket överraskande komponent som strömmar datorns skärm till angripare.
BIOPASS RAT har naturligtvis funktioner som är typiska för trojaner av detta slag. Dess operatörer kan komma åt och ändra filsystemet, utföra fjärrkommandon, stjäla filer, ta skärmdumpar och mer. Den överraskande delen är dock användningen av Open Broadcaster Software (OBS) - en mjukvara avsedd för direktuppspelning och videoinspelning. Överraskande använder brottslingarna det legitima programvarupaketet för att skapa en livestream av det komprometterade systemets skärm. Utöver detta kan BIOPASS RAT kapa data från webbläsare och programvara som är populära i Kina - 2345 Explorer, Sogou Explorer, QQ Browser, 360 Chrome och andra.
Sist men inte minst möjliggör BIOPASS RAT sina angripare att injicera HTML- och JavaScript-resurser på de webbplatser som användaren surfar på. Detta kan användas för att utföra en mycket smygande man-i-mitten-attack som stjäl inloggningsuppgifter eller annan information. Även om de exakta förövarna av BIOPASS RAT inte identifieras, misstänker forskare att Winnti-hackarna kan stå bakom denna kampanj och nyttolast.