13/07/21
Специалисты компании Trend Micro обнаружили новое вредоносное ПО, использующее популярное стриминговое приложение OBS Studio для записи экрана устройства жертвы и передачи его злоумышленникам.
BIOPASS представляет собой написанный на Python троян для удаленного доступа (RAT), использовавшийся в недавних атаках на китайские online-казино. Исследователи обнаружили RAT в легитимных установщиках Adobe Flash Player и Microsoft Silverlight, которые, несмотря на истечение жизненного цикла, до сих пор используются в Китае.
Как пояснили исследователи, хакеры внедрили в страницы техподдержки online-казино JavaScript-код, переадресовывавший потенциальных жертв на страницы с установщиками, содержащими вредоносное ПО. Наряду с оригинальными приложениями Flash и Silverlight также загружался троян BIOPASS, предоставляющий злоумышленникам полный контроль над зараженной системой.
Хотя BIOPASS похож на все остальные RAT, он обладает уникальными функциями, отсутствующими в других вредоносных программах, в частности, он устанавливает на атакуемую систему OBS Studio. По мнению специалистов, злоумышленникам нужен использующийся в приложении стриминговый протокол RTMP (Real-Time Messaging Protocol) для записи экрана устройства жертвы и передачи его на панель управления хакеров.
Кто стоит за BIOPASS, в настоящее время неизвестно, однако исследователям удалось обнаружить несколько фактов, указывающих на связь трояна с группой китайских «государственных» хакеров Winnti (другое название APT41). Предположения исследователей выглядят вполне правдоподобно, поскольку APT41 хороша известна тем, что в «рабочее» время проводит кибершпионские операции, а в свободное от «работы» время не брезгует кибератаками на игровые компании в Юго-Восточной Азии ради финансовой выгоды.
Что интересно, большое количество функций BIOPASS направлены на похищение данных из популярных браузеров и мессенджеров, использующихся в материковом Китае.
