Haberler

BIOPASS Kötü Amaçlı Yazılımı, Kurbanların Ekranına Canlı Erişim Sağlayabiliyor

Bilgisayar korsanları, popüler canlı yayın yazılımını kötüye kullanarak kurbanın bilgisayar ekranını gerçek zamanlı olarak izlemeyi sağlayan “BIOPASS” adlı yeni bir uzaktan erişim truva atını (RAT) kurmak için kumar sitelerini kullanmaya başladı.

Kötü amaçlı yazılım, RAT’lerde görülen olağan işlevlere ek olarak, web tarayıcılarından ve anlık mesajlaşma uygulamalarından özel verileri de çalabilme gibi olağanüstü eylemler gerçekleştirebiliyor.

“Aktif olarak geliştirildi”

Python tabanlı BIOPASS operatörleri, Çin’deki çevrimiçi kumar sitelerinin ziyaretçilerini hedef alıyor gibi görünüyor. Adobe Flash Player veya Microsoft Silverlight yükleyicileri gibi görünen kötü amaçlı yazılıma hizmet eden JavaScript kodu, saldırganların kurbanlarını aradıkları çevrimiçi kumar sitelerine entegre edildi.

BIOPASS RAT installer

Adobe, 2020’nin sonunda geliştirmiş olduğu “Flash Player” uygulamasının kullanımına son verdiğini açıkladı ve 12 Ocak’tan bu yana Flash içeriğinin çalıştırılmasını engelleyerek kullanıcıları yüksek güvenlik riskleri nedeniyle uygulamayı kaldırmaya çağırdı.

Silverlight da aynı yolu izliyor gibi görünüyor, geliştirici firma olan Microsoft 12 Ekim’de uygulamanın desteğini sonlandıracağını açıkladı.

Trend Micro’daki güvenlik araştırmacıları, BIOPASS’ı alan komut dosyasının ziyaretçiye virüs bulaşıp bulaşmadığını kontrol ettiğini ve genellikle hedef sitenin çevrimiçi destek sohbet sayfasına enjekte edildiğini tespit etti.

Trend Micro yetkilileri konu il ilgili bir açıklama yaptı. “Komut dosyası, ziyaretçiye henüz virüs bulaşmadığını doğrularsa, orijinal sayfa içeriğini saldırganların içeriğiyle değiştirir. Yeni sayfa, web sitesi ziyaretçilerine her ikisi de kötü amaçlı yükleyici olan bir Flash yükleyici veya bir Silverlight yükleyici indirmelerini söyleyen bir talimatla birlikte bir hata mesajı gösterecektir.”

Tehdit aktörü, resmi web sitelerinden veya saldırganın Alibaba bulut’undan indirilen uygulamalar olan Flash Player ve Silverlight için meşru yükleyiciler sağlayacak kadar dikkatli olduğu görülüyor.

BIOPASS uzaktan erişim truva atı, Python dilinin bulunmadığı sistemlerde ise komut dosyalarını çalıştırmak için gerekli DLL ve kitaplıklarla birlikte aynı yere enjekte ediliyor.

BIOPASS RAT infection flow

Açık kaynaklı yazılım aracılığıyla canlı izleme

BIOPASS, dosya sistemini değerlendirme, uzak masaüstü erişimi, dosya sızdırma, ekran görüntüsü alma ve kabuk komutu yürütme gibi tipik olarak uzaktan erişim truva atlarında görülen tüm yeteneklere sahip.

Bununla birlikte, ses ve videoyu kaydetmek, dönüştürmek ve yayınlamak için gerekli olan FFmpeg’in yanı sıra video kaydı ve canlı akış için açık kaynaklı bir çözüm olan Open Broadcaster Yazılımını da kurbanın bilgisayarına kuruyor.

Saldırgan, virüslü bir sistemin masaüstünü izlemek ve videoyu buluta aktarmak için iki çerçeveden birini kullanabilir ve BIOPASS kontrol panelinde oturum açarak akışı gerçek zamanlı olarak izleme olanağına da sahiptir.

Login page for BIPASS RAT control panel

Araştırmacılar kötü amaçlı yazılımı analiz ederken, aralarında WeChat, QQ ve Aliwangwang olmak üzere birden çok mesajlaşma uygulaması için yükleme klasörlerini sıralayan bir komut buldu.

BIOPASS ayrıca çeşitli web tarayıcılarından (Google Chrome, Microsoft Edge Beta, 360 Chrome, QQ Tarayıcı, 2345 Explorer, Sogou Explorer ve 360 Güvenli Tarayıcı) hassas verileri (çerezler ve oturum açma bilgileri) ayıklayabilmekte.

Araştırmacılar, analiz edilen sürümde uygulanmamasına rağmen, Windows için WeChat messenger’dan sohbet geçmişini ele geçirebilen bir Python eklentisi de buldular.

Tespit edilen bir başka eklenti ise, web sunucularına siteler arası komut dosyası çalıştırma (XSS) saldırısı yoluyla bulaşmak için birden fazla Python komut dosyası içeriyordu. Bu, saldırganın JavaScript ve HTML kaynaklarını manipüle etmesine izin vererek, tehdit aktörünün kurbanın web tarayıcısının yanıtına komut dosyalarını enjekte etmesine olanak tanımakta.

BIOPASS RAT’ın arkasında kimin olduğuna dair kesin bir açıklama yok, ancak Trend Micro, APT41 olarak da bilinen Çinli Winnti hacker grubuna işaret eden bağlantılar buldu.

Kaynak: bleepingcomputer.com

Diğer Haberler

Kaseya, REvil Ransomware Zafiyeti İçin Patch Yayınladı
Microsoft, Windows 11’de Eski Başlat Menüsünün Kullanılmasına İzin Vermiyor
Lazarus APT Grubunun Hedefinde İş Arayan Mühendisler Var

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu