Компания Trend Micro обнаружила вредоноса BIOPASS, который атакует пользователей китайских игорных сайтов. Исследователи предполагают, что за созданием этой малвари может стоять известная шпионская хак-группа Winnti (APT41).
BIOPASS представляет собой троян удаленного доступа (Remote Access Trojan, RAT) написанный на Python. Как правило, он скрывается внутри легитимных установщиков Adobe Flash Player или Microsoft Silverlight, которые все еще используются в Китае, несмотря на то, что в остальном мире их поддержка уже прекращена.
Эксперты пишут, что для распространения малвари применяется вредоносный JavaScript, размещенный на страницах технической поддержки или чата китайских сайтов, связанных с азартными играми. Он перенаправляет пользователей на страницы, предлагающие потенциальным жертвам зараженные установщики. Если пользователь попадался на эту уловку злоумышленников, в его систему проникал BIOPASS.
Малварь мало отличается от других RAT и обладает такими функциями, как оценка файловой системы, удаленный доступ рабочему столу, кража файлов и выполнение шелл-команд. Также вредонос может скомпрометировать личную информацию жертв, похищая данные из браузеров и мессенджеров (включая QQ Browser, 2345 Explorer, Sogou Explorer и 360 Safe Browser, WeChat, QQ и Aliwangwang).
Интересной отличительной чертой этого вредоноса является использование популярного стримерского софта OBS Studio, который часто применяют пользователи Twitch, YouTube и так далее. Злоумышленники задействовали RTMP в OBS Studio для захвата экрана пользователя и трансляции видео прямо в панель управления малвари.
Любопытно, что группировка Winnti, которой приписывают создание вредоноса, известна как китайская группа, занимающаяся кибершпионажем. Порой, с целью получения личной выгоды, Winnti устраивает атаки на игорные компании в Юго-Восточной Азии. Так как в данном случае атаки нацелены на китайских пользователей, исследователи не слишком уверены в своей атрибуции.