Новый RAT использует стриминговое приложение OBS Studio для записи экрана устройств жертв

Новый RAT использует стриминговое приложение OBS Studio для записи экрана устройств жертв

Alexander Antipov

Исследователи обнаружили RAT в легитимных установщиках Adobe Flash Player и Microsoft Silverlight.

image

Специалисты компании Trend Micro обнаружили новое вредоносное ПО, использующее популярное стриминговое приложение OBS Studio для записи экрана устройства жертвы и передачи его злоумышленникам.

BIOPASS представляет собой написанный на Python троян для удаленного доступа (RAT), использовавшийся в недавних атаках на китайские online-казино. Исследователи обнаружили RAT в легитимных установщиках Adobe Flash Player и Microsoft Silverlight, которые, несмотря на истечение жизненного цикла, до сих пор используются в Китае.

Как пояснили исследователи, хакеры внедрили в страницы техподдержки online-казино JavaScript-код, переадресовывавший потенциальных жертв на страницы с установщиками, содержащими вредоносное ПО. Наряду с оригинальными приложениями Flash и Silverlight также загружался троян BIOPASS, предоставляющий злоумышленникам полный контроль над зараженной системой.

Хотя BIOPASS похож на все остальные RAT, он обладает уникальными функциями, отсутствующими в других вредоносных программах, в частности, он устанавливает на атакуемую систему OBS Studio. По мнению специалистов, злоумышленникам нужен использующийся в приложении стриминговый протокол RTMP (Real-Time Messaging Protocol) для записи экрана устройства жертвы и передачи его на панель управления хакеров.

Кто стоит за BIOPASS, в настоящее время неизвестно, однако исследователям удалось обнаружить несколько фактов, указывающих на связь трояна с группой китайских «государственных» хакеров Winnti (другое название APT41). Предположения исследователей выглядят вполне правдоподобно, поскольку APT41 хороша известна тем, что в «рабочее» время проводит кибершпионские операции, а в свободное от «работы» время не брезгует кибератаками на игровые компании в Юго-Восточной Азии ради финансовой выгоды.

Что интересно, большое количество функций BIOPASS направлены на похищение данных из популярных браузеров и мессенджеров, использующихся в материковом Китае.


Представьте себе ситуацию, что у вас неожиданно оказалось на счету более 95 млн рублей. Что бы вы сделали? Смотрите очередной выпуск новостей на нашем Youtube канале.


Источник: Securitylab