BIOPASS RAT stiehlt per Live-Streaming die Daten von Opfern

  • Die Malware hat es mit gefälschten App-Installern auf chinesische Glücksspielseiten abgesehen.

    Online-Glücksspielunternehmen in China werden von einem neuen Remote-Access-Trojaner (RAT) ins Visier genommen, der zusätzlich zu seinen vorhersehbaren Funktionen – wie Dateiaufnahme und Exfiltration – den neuartigen Ansatz verfolgt, Live-Streaming zu nutzen, um die Bildschirme seiner Opfer auszuspionieren.

    Die Malware wurde von einem Team von Bedrohungsforschern bei Trend Micro identifiziert und BIOPASS RAT genannt.

    “Was BIOPASS RAT besonders interessant macht, ist, dass es den Bildschirm seines Opfers ausspähen kann, indem es das Framework von Open Broadcaster Software (OBS) Studio, einer beliebten App für Live-Streaming und Videoaufzeichnung, missbraucht, um ein Live-Streaming zu einem Cloud-Dienst über das Real-Time Messaging Protocol (RTMP) einzurichten”, berichtet das Trend Micro-Team. “Außerdem missbraucht der Angriff den Object Storage Service (OSS) von Alibaba Cloud (Aliyun), um die BIOPASS RAT Python-Skripte zu hosten sowie die exfiltrierten Daten der Opfer zu speichern.”

    Die Forscher sagten, dass der Watering-Hole-Angriff typischerweise aufpoppt und wie ein harmloses Support-Chat-Fenster aussieht. Sobald die Installation beginnt, prüft die Malware, ob das Opfer bereits mit BIOPASS RAT infiziert ist, erklärte der Bericht. Wenn ja, stoppt sie. Wenn nicht, so die Forscher, beginnt das Skript mit der Display des betrügerischen Inhalts auf dem Bildschirm des Opfers, der dem Benutzer mitteilt, dass er entweder Flash oder Silverlight installieren muss, fügte das Trend Micro-Team hinzu und leitete ihn zu einem bösartigen Loader.

    Sobald ein neues Login erstellt wurde, erstellt die Malware verschiedene geplante Aufgaben und führt diese aus, die Cobalt Strike oder eine BPS-Backdoor laden können, erklärt der Bericht. Die Aufgabe mit der Bezeichnung “big.txt” liefert die Hauptfunktionalität von BIOPASS RAT, die laut Trend Micro-Team mit Nuitka, PyArmor und PyInstaller kompiliert wurde.

    BIOPASS RAT’s ‘Geplante Aufgaben’

    “Wir haben auch die Pfadzeichenfolge ‘ServiceHub’ bemerkt, die ein Pfad zur extrahierten Python-Laufzeit ist”, fügte das Trend Micro Team hinzu. “Nach der Hex-Dekodierung der Argumente erhalten wir einen Python-Einzeiler, der weitere Python-Skripte aus der Cloud herunterlädt.”

    Sobald BIOPASS RAT gestartet ist, sucht es nach einer Hintertür, erstellt gegebenenfalls eine Hintertür und fügt einen Zeitstempel hinzu, fanden die Trend Micro Forscher heraus. Dann lädt es ein Python-Skript mit der Bezeichnung “online.txt”, das einen HTTP-Server öffnet und auf den Portnummern lauscht: 43990, 43992, 53990, 33990, 33890, 48990, 12880, 22880, 32880, 42880, 52880, oder 62880.

    “Der HTTP-Server tut nichts weiter, als die Zeichenkette “BPSV3″ auf die Anfrage zurückzugeben”, so der Bericht weiter. “Es wird auch ein zweiter HTTP-Server erstellt, der auf einer der oben genannten Portnummern lauscht. Der zweite HTTP-Server verhält sich genauso wie der erste, gibt aber stattdessen die Zeichenkette “dm_online” zurück. Dies sind die bereits erwähnten Markierungen für die Infektion. Nachdem die Server eingerichtet sind und laufen, erstellt die Hintertür ein Ausführungs-Stammverzeichnis im Ordner “%PUBLIC%/BPS/V3/”.”

    Dann greift BIOPASS RAT auf das Stammverzeichnis zu und sucht nach einer Datei namens “bps.key”, die die vom Command-and-Control-Server (C2) für das Opfer erstellte Benutzer-ID enthält. Wenn eine solche nicht gefunden wird, so der Bericht, weist der C2-Server eine zu.

    Streaming, Screenshots, Dateien, sogar Netzwerk-Sniffing

    Von dort aus holt sich BIOPASS RAT alles – der Desktop wird überwacht und per RTMP-Livestreaming in die Cloud übertragen; PNG-Screenshots des Desktops werden hochgeladen und ein Shell-Befehl löst eine Python-Funktion aus, die sich selbst töten und dann über ihre geplanten Aufgaben neu starten kann, so der Bericht weiter.

    BIOPASS RAT sammelt sogar die Cookies und Anmeldedatendateien des Opfers.

    Das vom Angreifer kontrollierte Konto wird auf der Alibaba Cloud OSS gehostet, berichten die Trend Micro-Forscher und fügen hinzu, dass sie nach der Meldung der bösartigen Aktivität keine Reaktion von Alibaba erhalten haben.

    Sie entdeckten außerdem zwei besorgniserregende Python-Plug-ins, die von Cobalt Strike eingesetzt werden und WeChat-Windows-Nachrichten abgreifen.

    “Das Skript ‘getwechatdb’ wird zum Exfiltrieren des Chat-Verlaufs aus dem WeChat-Windows-Client verwendet”, warnte der Bericht. “Das Skript erkennt die Version des installierten WeChat-Clients und schnappt sich den Entschlüsselungsschlüssel und die Benutzer-ID. Die vordefinierte Liste von Offsets wird verwendet, um zu lokalisieren, wo der Entschlüsselungsschlüssel und die Benutzer-ID eingebettet sind.”

    Dann sendet das Skript die WeChat-Nachrichten mit der zugehörigen Client-ID-Nummer und dem Entschlüsselungsschlüssel an die Cloud.

    Das zweite Plugin kann mit WinDivert, das den Windows-Netzwerkverkehr überwacht und kontrolliert, bösartigen Code in den Webdienst eines Ziels einschleusen, so der Bericht.

    Die Untersuchungen des Teams führten zu dem Schluss, dass das BIOPASS RAT viele Verbindungen zu APT41 hat, auch bekannt als die Winnti-Gruppe, die regelmäßig gestohlene Zertifikate von Spiele-Studios für ihre Malware verwendet. Trend Micro weist darauf hin, dass die BIOPASS RAT-Zertifikate von südkoreanischen und taiwanesischen Spielestudios gestohlen wurden.

    Informieren Sie sich über unsere kommenden kostenlosen Live- und On-Demand-Webinar-Veranstaltungen – einzigartige, dynamische Diskussionen mit Cybersecurity-Experten und der Threatpost-Community.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com