黑客通过中国在线赌博网站传播BIOPASS恶意软件

网络安全研究人员警告称，一种新的恶意软件正在攻击中国的在线赌博公司，其攻击方式是部署Cobalt Strike信标，或部署一个名为生物大鼠它利用开放式广播软件（OBS）Studio的直播应用程序捕捉受害者的屏幕。

该攻击涉及欺骗游戏网站访问者下载伪装成合法安装程序的恶意软件加载程序，用于Adobe Flash Player或Microsoft Silverlight等流行但不受欢迎的应用程序，但该加载程序只是充当获取下一阶段有效载荷的管道。

具体来说，这些网站的在线支持聊天页面被恶意JavaScript代码诱杀，用于将恶意软件发送给受害者。

Trend Micro的研究人员在周五发布的一份分析报告中指出：“BIOPASS RAT拥有在其他恶意软件中发现的基本功能，例如文件系统评估、远程桌面访问、文件外泄和shell命令执行。”。“它还可以通过窃取网络浏览器和即时通讯客户端数据来泄露受害者的私人信息。”

OBS Studio是一款用于视频录制和实时流媒体的开源软件，使用户可以将视频流媒体传输到Twitch、YouTube和其他平台。

除了具备一系列运行典型间谍软件的功能外，BIOPASS还配备了实时消息协议（RTMP），在攻击者的控制下，通过实时消息协议（RTMP）向云服务建立实时流媒体，以及使用套接字与指挥与控制（C2）服务器通信。IO协议。

据称，该恶意软件正在积极开发中，其重点还在于从主要在中国大陆流行的网络浏览器和即时通讯应用中窃取私人数据，包括QQ浏览器、2345浏览器、搜狗浏览器和360安全浏览器、微信、QQ和Aliwangwang。

目前尚不清楚到底是谁在幕后操纵这种恶意软件，但趋势科技的研究人员表示，他们发现BIOPASS和TTP之间存在重叠，后者通常与Winnti Group（又名APT41）有关，Winnti Group是一个专门从事网络间谍攻击的复杂中国黑客组织，基于使用偷来的证书和之前被认为是威胁参与者的钴击二进制文件。

此外，同一Cobalt Strike二进制文件还与今年早些时候针对蒙古主要认证机构（CA）MonPass的网络攻击有关，该公司的安装软件被篡改，以便在受感染的系统上安装Cobalt Strike beacon有效载荷。

“BIOPASS RAT是一种复杂的恶意软件，以Python脚本的形式实现，”研究人员说。“鉴于恶意软件加载器是以可执行文件的形式交付的，伪装成一个合法的更新安装程序，安装在一个受损网站上，[…]建议只从可信来源和官方网站下载应用程序，以避免被泄露。"