BIOPASS RAT 通過受損賭博網站傳播
一個未知的威脅演員正在使用一種新的基於 Python 的有效載荷來瞄準中國賭博網站的用戶。該惡意軟件通過欺詐性消息和彈出窗口進行傳播,這些消息和彈出窗口會出現在合法的賭博網站上——這意味著網絡犯罪分子已經設法以某種方式滲透了這些網站的安全性。需要補充的是,當用戶嘗試訪問受感染網站的實時支持部分時,通常會出現欺詐性消息——這可能是其安全性遭到破壞的確切組件。
注意 Flash Player 和 Silverlight 提示——可能是 BIOPASS RAT
受感染網站的用戶可能會看到一條警告,提示他們需要下載 Adobe Flash Player 或 Microsoft Silverlight 的更新——這些應用程序現已棄用。然而,用戶最終獲取的是危險的 BIOPASS RAT 的副本,而不是合法的安裝程序。此遠程訪問木馬 (RAT) 包含許多功能,包括一個非常令人驚訝的組件,可將受感染計算機的屏幕流式傳輸給攻擊者。
BIOPASS RAT 自然具有此類特洛伊木馬程序的典型特徵。它的操作員可以訪問和修改文件系統、執行遠程命令、竊取文件、抓取屏幕截圖等。然而,令人驚訝的部分是使用 Open Broadcaster Software (OBS)——一款用於直播和視頻錄製的軟件。令人驚訝的是,犯罪分子正在使用合法軟件包來設置受感染系統屏幕的實時流。最重要的是,BIOPASS RAT可以從中國流行的網絡瀏覽器和軟件中劫持數據——2345資源管理器、搜狗資源管理器、QQ瀏覽器、360 Chrome等。
最後但並非最不重要的是,BIOPASS RAT 使攻擊者能夠將 HTML 和 JavaScript 資源注入用戶瀏覽的網站。這可能用於執行非常隱蔽的中間人攻擊,以竊取登錄憑據或其他信息。儘管尚未確定 BIOPASS RAT 的確切肇事者,但研究人員懷疑 Winnti 黑客可能是這次活動和有效載荷的幕後黑手。