Χάκερ παραβίασαν ιστότοπους gambling για να παραδώσουν ένα νέο trojan απομακρυσμένης πρόσβασης (RAT) που ονομάζεται BIOPASS, το οποίο επιτρέπει την παρακολούθηση της οθόνης του υπολογιστή του θύματος σε πραγματικό χρόνο κάνοντας κατάχρηση δημοφιλούς live-streaming software.
Δείτε επίσης: Η Microsoft πιστοποίησε έναν driver που περιείχε rootkit malware
Εκτός από την ασυνήθιστη λειτουργία, η οποία έρχεται πάνω από τις κανονικές λειτουργίες που εμφανίζονται στα RAT, το κακόβουλο λογισμικό μπορεί επίσης να κλέψει ιδιωτικά δεδομένα από προγράμματα περιήγησης ιστού και εφαρμογές άμεσων μηνυμάτων.
Οι χειριστές του BIOPASS φαίνεται να στοχεύουν επισκέπτες σε ιστότοπους που ανήκουν σε online gambling στην Κίνα. «Πρόσθεσαν» στον ιστότοπο κώδικα JavaScript που εξυπηρετεί το malware με το πρόσχημα των installers για προγράμματα εγκατάστασης Adobe Flash Player ή Microsoft Silverlight.
Η Adobe εγκατέλειψε τον Flash Player στο τέλος του 2020 και αποκλείει την εκτέλεση περιεχομένου Flash από τις 12 Ιανουαρίου, προτρέποντας τους χρήστες να καταργήσουν την εφαρμογή λόγω σοβαρών κινδύνων ασφάλειας.
Το Silverlight ακολουθεί την ίδια πορεία, με τη Microsoft να τερματίζει την υποστήριξη αργότερα μέσα στην χρονιά, στις 12 Οκτωβρίου. Το framework υποστηρίζεται προς το παρόν μόνο στον Internet Explorer 11 και δεν υπάρχουν σχέδια για παράταση της διάρκειας ζωής του.
Οι ερευνητές ασφαλείας στην Trend Micro διαπίστωσαν ότι το script που ανακτά το BIOPASS ελέγχει εάν ο επισκέπτης έχει μολυνθεί και συνήθως εισάγεται στη σελίδα της διαδικτυακής συνομιλίας υποστήριξης του στοχευμένου ιστότοπου.
Δείτε επίσης: Το Joker Malware ξαναχτυπά: Διαγράψτε αμέσως αυτά τα 8 Android apps
Ο απειλητικός παράγοντας είναι αρκετά προσεκτικός για να παρέχει τους νόμιμους installers στα Flash Player και Silverlight, τις εφαρμογές που λαμβάνονται από τους επίσημους ιστότοπους ή αποθηκεύονται στον χώρο αποθήκευσης Alibaba cloud του επιτιθέμενου.
Το trojan απομακρυσμένης πρόσβασης BIOPASS αποθηκεύεται στον ίδιο χώρο, μαζί με το DLL και τις βιβλιοθήκες που είναι απαραίτητες για την εκτέλεση των scripts σε συστήματα όπου η γλώσσα Python δεν υπάρχει.
Οι ερευνητές σημειώνουν ότι το malware αναπτύσσεται ενεργά και ότι το default payload του loader ήταν Cobalt Strike shellcode, όχι το BIOPASS RAT.
Δείτε επίσης: Crackonosh malware: Καταχράται το Windows Safe mode για cryptomining
Live screen μέσω λογισμικού ανοιχτού κώδικα
Το BIOPASS διαθέτει όλες τις δυνατότητες που εμφανίζονται συνήθως σε trojans απομακρυσμένης πρόσβασης, όπως η αξιολόγηση του συστήματος αρχείων, η απομακρυσμένη desktop πρόσβαση, το file exfiltration, η λήψη screenshots και η εκτέλεση εντολών shell.
Ωστόσο, κατεβάζει επίσης το FFmpeg που απαιτείται για την εγγραφή, μετατροπή και stream audio και βίντεο, καθώς και το λογισμικό Open Broadcaster, μια λύση ανοιχτού κώδικα για εγγραφή βίντεο και live streaming.
Ο εισβολέας μπορεί να χρησιμοποιήσει ένα από τα δύο πλαίσια για την παρακολούθηση του desktop ενός μολυσμένου συστήματος και to stream του βίντεο στο cloud, επιτρέποντάς τους να παρακολουθούν το feed σε πραγματικό χρόνο, συνδέοντας το control panel του BIOPASS.
Δεν υπάρχει συγκεκριμένη σκέψη για το ποιος βρίσκεται πίσω από το BIOPASS RAT, αλλά η Trend Micro βρήκε συνδέσμους που δείχνουν την κινεζική ομάδα hacking Winnti, επίσης γνωστή ως APT41.
Πηγή πληροφοριών: bleepingcomputer.com
 που ονομάζεται BIOPASS, το οποίο){kind=link}