新惡意軟件 BIOPASS：通過濫用 OBS Studio 的框架來嗅探受害者的屏幕

趨勢科技的研究人員發現了一種名為 BIOPASS 的新惡意軟件，它通過濫用Open Broadcaster Software (OBS) Studio的框架來嗅探受害者的屏幕 。

新惡意軟件背后的威脅行為者在中國賭博相關網站的支持聊天頁面上植入了惡意 JavaScript 代碼，以將訪問者重定向到提供惡意安裝程序的頁面。

這種新的惡意軟件被用于針對中國在線賭博公司的水坑攻擊，黑客入侵這些網站以提供偽裝成 Adob??e Flash Player 或 Microsoft Silverlight 合法安裝程序的惡意軟件加載程序。

對加載程序的分析表明，它加載了 Cobalt Strike shellcode 或專家跟蹤為 BIOPASS RAT 的新 Python 后門。

BIOPASS RAT 實現了常見的 RAT 功能，例如文件系統評估、遠程桌面訪問、文件泄露和 shell 命令執行。該惡意軟件還能夠從安裝在受害者設備上的網絡瀏覽器和即時消息客戶端竊取私人信息。

惡意代碼利用 OBS studio 的 RTMP（實時消息協議）流媒體功能來記錄用戶的屏幕并將其廣播到攻擊者的控制面板。

“讓 BIOPASS RAT 特別有趣的是，它可以通過濫用Open Broadcaster Software (OBS) Studio的框架來嗅探受害者的屏幕，這是 一種流行的直播和視頻錄制應用程序，通過實時消息建立到云服務的直播協議 (RTMP)。此外，該攻擊還濫用阿里云（阿里云）的對象存儲服務（OSS）來托管 BIOPASS RAT Python 腳本以及存儲從受害者那里泄露的數據。” 閱讀趨勢科技發布的報告。

專家注意到，多個 BIOPASS RAT 加載程序二進制文件都使用兩個可能從韓國和臺灣的游戲工作室竊取的有效證書進行簽名，這種策略以前 與 Winnti Group 為簽署其惡意軟件而進行的網絡間諜活動有關。

這符合該組織的作案手法，因為 眾所周知，APT41在其正常工作時間從事網絡間諜活動，然后對東南亞的在線游戲公司進行出于經濟動機的攻擊，以謀取個人利益。專家還發現了Derusbi惡意軟件樣本的服務器端變體，它是 Winnti 武器庫的一部分，使用其中一個被盜證書簽名。

“BIOPASS RAT 是一種復雜的惡意軟件，以 Python 腳本的形式實現。它具有許多功能，例如能夠使用計劃任務作為在受感染系統中保持持久性的一種方法。該惡意軟件濫用公開可用的工具和云服務進行惡意行為。” 總結了趨勢科技發布的報告，其中包括妥協指標 (IoC)。