Ny og skremmende trojaner i omløp

Det japansk-amerikanske cybersikkerhetsselskapet Trend Micro har registrert et nytt virus som bruker den populære strømme-appen OBS Studio live for å strømme ofrenes skjermbilde til angriperne.

Forkledd i Adobe Flash

Biopass er en remote access trojan (RAT). Den er kodet i Python og den er nylig oppdaget i angrep på kinesiske online gamblingselskaper.

Ifølge Trend Micro er Rat’en innebygget og forkledd i installasjonspakker for Adobe Flash Player og Microsoft Silverlight, to teknologier som fortsatt brukes til tross for at de idag er EOL-produkter (End-of-life).

Angriperne skal ha plantet javascript på teknisk support-sider for kinesiske gambling-nettsteder. Scriptene omdirigerte brukerne til potensielt skadelige sider.

ITavisen

Gir angriperne kontroll over maskinen

De som installerte Flash- og Silverlight-appene fikk i tillegg til en legitim versjon av programvaren, også Biopass Rat som ga angriperne full kontroll over maskinene.

Biopass Rat har grunnleggende funksjoner som finnes i annen skadelig programvare, for eksempel filsystemvurdering, ekstern skrivebordstilgang, fileksfiltrering og kjøring av skallkommando. Det har også mulighet til å stjele privat informasjon fra nettleser og direktemeldinger.

Trend Micro

Strømmer ofrenes skjermbilde

Men mens Biopass ser ut som en hvilken som helst annen Rat, kommer den også med en ny funksjon som ikke er sett i annen malware – den installerer programvaren OBS Studio på ofrenes systemer: ifølge Trend Micro bruker angriperne OBS Studio for å strømme ofrenes skjermbilde til angriperen.

Cybercriminals compromised Chinese online gambling sites to spread the BIOPASS RAT #malware, which uses OBS Studio's live-streaming app to capture victims' screens.

Read details: https://t.co/DYJaGlDbLi#infosec #cybersecurity #hacking #cyberattack

— The Hacker News (@TheHackersNews) July 12, 2021

Spor leder til kinesiske hackere

Det er ikke slått fast hvem som står bak Biopass, men Trend Micro mener å ha funnet flere spor som leder til en gruppe hackere som går under navnet Winnti eller APT41.

APT41 har bånd til kinesiske myndigheter er kjent for å drive cyberspionasje i vanlig arbeidstid mens de etter arbeidstiden skifter til økonomisk motiverte angrep på spillselskaper i Sørøst-Asia.

Målrettede funksjoner

En interessant detalj ved Biopass er at et stort antall av funksjonene er målrettet mot populære nettlesere og chat-tjenester som er vanlig i fastlands-Kina.