Cảnh giác với malware BIOPASS ẩn trong các trang game online cờ bạc của Trung Quốc

Các nhà nghiên cứu an ninh mạng đang cảnh báo về một phần mềm độc hại mới - BIOPASS RAT - tấn công các công ty game online cờ bạc ở Trung Quốc. BIOPASS RAT lợi dụng ứng dụng phát trực tuyến Open Broadcaster Software (OBS) Studio để chụp màn hình nạn nhân.

Cuộc tấn công liên quan đến việc lừa khách truy cập vào trang web trò chơi và tải xuống một trình tải phần mềm độc hại được ngụy trang như một trình cài đặt hợp pháp cho các ứng dụng phổ biến nhưng không được dùng nữa, như Adobe Flash Player hoặc Microsoft Silverlight. Mục đích của việc này là để trình tải hoạt động như một đường dẫn nhằm tìm nạp các tải trọng cho giai đoạn tiếp theo.

Cụ thể, các trang trò chuyện hỗ trợ trực tuyến của các trang web game online cờ bạc dính mã JavaScript độc hại, được dùng để lây lan phần mềm độc hại cho nạn nhân.

"BIOPASS RAT có các tính năng cơ bản được tìm thấy trong các phần mềm độc hại khác, chẳng hạn như đánh giá hệ thống tệp, truy cập máy tính từ xa, lọc tệp và thực thi lệnh shell", các nhà nghiên cứu của Trend Micro cho biết. “Nó có khả năng xâm phạm thông tin cá nhân của nạn nhân bằng cách đánh cắp dữ liệu trình duyệt web và ứng dụng nhắn tin".

OBS Studio là một phần mềm mã nguồn mở, dùng để quay video và phát trực tiếp, cho phép người dùng phát trực tiếp lên Twitch, YouTube và các nền tảng khác.

Bên cạnh việc trang bị một loạt các khả năng chạy mọi phần mềm gián điệp điển hình, BIOPASS còn được trang bị để thiết lập tính năng phát trực tiếp tới dịch vụ đám mây, dưới sự kiểm soát của kẻ tấn công thông qua Real-Time Messaging Protocol (RTMP), ngoài việc giao tiếp với máy chủ command-and-control (C2) sử dụng giao thức Socket.IO.

Phần mềm độc hại này đang lây lan mạnh mẽ. Nó chủ yếu đánh cắp dữ liệu cá nhân từ các trình duyệt web và các ứng dụng nhắn tin phổ biến nhất ở Trung Quốc, bao gồm QQ Browser, 2345 Explorer, Sogou Explorer, 360 Safe Browser, WeChat, QQ và Aliwangwang.

Không rõ chính xác ai đứng sau cuộc tấn công này, nhưng các nhà nghiên cứu của Trend Micro cho biết, họ đã tìm thấy sự trùng lặp giữa BIOPASS và TTPs - liên quan đến Winnti Group (hay còn gọi là APT41) - một nhóm hack tinh vi của Trung Quốc.

"BIOPASS RAT là một loại phần mềm độc hại tinh vi được triển khai dưới dạng các tập lệnh Python. Do trình tải phần mềm độc hại được phân phối dưới dạng tệp thực thi được ngụy trang như trình cài đặt cập nhật hợp pháp trên trang web bị xâm phạm, [...] bạn chỉ nên tải ứng dụng từ các nguồn đáng tin cậy và trang web chính thức để tránh bị xâm phạm”, các nhà nghiên cứu cảnh báo.