Hacker verbreiten BIOPASS-Malware über chinesische Online-Glücksspielseiten

  • Cybersecurity-Forscher warnen vor einer neuen Malware, die Online-Glücksspielunternehmen in China über eine Watering-Hole-Attacke angreift, um entweder Cobalt Strike Beacons oder eine bisher nicht dokumentierte Python-basierte Backdoor namens BIOPASS RAT einzusetzen, die die Live-Streaming-App von Open Broadcaster Software (OBS) Studio ausnutzt, um den Angreifern den Bildschirm ihrer Opfer zu zeigen.

    Bei dem Angriff werden Besucher von Gaming-Websites dazu verleitet, einen Malware-Loader herunterzuladen, der als legitimes Installationsprogramm für beliebte, aber veraltete Anwendungen wie Adobe Flash Player oder Microsoft Silverlight getarnt ist.

    Insbesondere die Online-Support-Chat-Seiten der Websites sind mit bösartigem JavaScript-Code gespickt, der dazu verwendet wird, die Malware an die Opfer zu übermitteln.

    [Blocked Image: https://thehackernews.com/images/-9r3EBoAeEj4/YMt1nGWkOMI/AAAAAAAA4Qk/feJCltGJrFcMPYuba5Ihr7WgYxNB6oG-gCLcBGAsYHQ/s300-e100/free-ad-7-300.png]

    “BIOPASS RAT verfügt über grundlegende Funktionen, die auch in anderer Malware zu finden sind, wie z. B. Dateisystembewertung, Remote-Desktop-Zugriff, Dateiexfiltration und Ausführung von Shell-Befehlen”, so Trend Micro Forscher in einer am Freitag veröffentlichten Analyse. “Es hat auch die Fähigkeit, die privaten Informationen seiner Opfer zu kompromittieren, indem es Webbrowser- und Instant-Messaging-Client-Daten stiehlt.”

    OBS Studio ist eine Open-Source-Software für Videoaufnahmen und Live-Streaming, mit der Benutzer auf Twitch, YouTube und anderen Plattformen streamen können.

    [Blocked Image: https://thehackernews.com/images/-on785UDDstg/YOwhfX9qmiI/AAAAAAAADJ8/K3h2x47BUxAiB-ri4cR4StahN2hde6czACLcBGAsYHQ/s0/malware-code.jpg]

    Neben einer Reihe von Funktionen, die das typische Spektrum von Spyware abdecken, ist BIOPASS in der Lage, Live-Streaming zu einem Cloud-Dienst unter der Kontrolle des Angreifers über das Real-Time Messaging Protocol (RTMP) einzurichten und mit dem Command-and-Control-Server (C2) über das Socket.IO-Protokoll zu kommunizieren.

    Die Malware, die sich angeblich in aktiver Entwicklung befindet, zeichnet sich auch dadurch aus, dass sie sich darauf konzentriert, private Daten aus Webbrowsern und Instant-Messaging-Apps zu stehlen, die hauptsächlich in Festlandchina beliebt sind, darunter QQ Browser, 2345 Explorer, Sogou Explorer und 360 Safe Browser, WeChat, QQ und Aliwangwang.

    [Blocked Image: https://thehackernews.com/images/-I2p7f9FPhKw/YOwhP_kMUOI/AAAAAAAADJ0/0tlzGQ829rQTYfYz3fPOHdFbwp1ULIteACLcBGAsYHQ/s0/rat.jpg]

    Es ist nicht genau klar, wer hinter diesem Malware-Stamm steckt, aber Trend Micro Forscher sagten, dass sie Überschneidungen zwischen BIOPASS und den TTPs gefunden haben, die oft mit der Winnti-Gruppe (auch bekannt als APT41) in Verbindung gebracht werden, einer hochentwickelten chinesischen Hackergruppe, die auf Cyberspionage-Angriffe spezialisiert ist, basierend auf der Verwendung von gestohlenen Zertifikaten und einer Cobalt Strike-Binärdatei, die zuvor dem Bedrohungsakteur zugeschrieben wurde.

    [Blocked Image: https://thehackernews.com/images/-hkQDbi8WuFc/YLy9N5FVDyI/AAAAAAAA4BQ/EWc29W968mAbwiuVzSw1vYyepjgzwGHawCLcBGAsYHQ/s728-e100/privileged_728.jpg]

    Darüber hinaus wurde die gleiche Cobalt Strike-Binärdatei auch mit einem Cyberangriff auf MonPass, eine große Zertifizierungsstelle (CA) in der Mongolei, Anfang dieses Jahres in Verbindung gebracht, bei dem die Installationssoftware manipuliert wurde, um Cobalt Strike-Beacon-Payloads auf infizierten Systemen zu installieren.

    “BIOPASS RAT ist eine hochentwickelte Art von Malware, die als Python-Skript implementiert ist”, so die Forscher. “Der Malware-Loader wurde als ausführbare Datei, getarnt als legitimes Update-Installationsprogramm, auf einer kompromittierten Website bereitgestellt, […] Es wird empfohlen, Apps nur von vertrauenswürdigen Quellen und offiziellen Websites herunterzuladen, um zu vermeiden, dass sie kompromittiert werden.”

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com