BIOPASS RAT 악성코드

BIOPASS RAT이라고 하는 새로운 악성코드가 발견되었는데, 라이브 스트리밍을 사용하여 피해자의 화면을 감시하는 새로운 접근 방식을 취한다고 합니다.

 

BIOPASS RAT는 인기있는 라이브 스트리밍 및 비디오 녹화 앱인 OBS(Open Broadcaster Software) Studio의 프레임워크를 사용하여 실시간 메시징을 통해 클라우드 서비스에 라이브 스트리밍을 설정함으로써 피해자의 화면을 훔쳐볼 수 있다는 것입니다.

 

또한 이 공격은 Alibaba Cloud(Aliyun)의 오브젝트 스토리지 서비스(OSS)를 사용하여 BIOPASS RAT Python 스크립트를 호스팅하고 피해자로부터 추출된 데이터를 저장한다고 합니다.

 

악성코드 설치가 시작되면 악성코드는 피해자가 이미 BIOPASS RAT에 감염되었는지 여부를 확인하는데, 감염되지 않았다면 스크립트가 피해자의 화면에 사기성 콘텐츠를 표시하기 시작하여 사용자에게 Flash of Silverlight를 설치해야 함을 알려주고 악성 로더로 안내한다고 합니다.

 

새로운 로그인이 생성되면 악성코드는 Cobalt Strike 또는 BPS 백도어를 로드할 수 있는 다양한 예약된 작업을 생성하고 실행한다고 합니다.

 

BIOPASS RAT가 실행되면 백도어를 찾고 필요한 경우 백도어를 생성하고 타임스탬프를 추가합니다. 그런 다음 HTTP 서버를 열고 특정 포트 번호를 수신하도록 하는 "online.txt"라는 Python 스크립트를 로드합니다.

 

서버가 설정되고 실행되면 백도어는 특정 폴더에 실행 루트 디렉터리를 생성합니다.

 

그런 다음 BIOPASS RAT는 루트 디렉토리에 액세스하여 명령 및 제어 서버(C2)에 의해 피해자를 위해 생성된 사용자 ID가 있는 "bps.key"라는 파일을 찾습니다.

 

거기에서 BIOPASS RAT는 모든 것을 얻습니다. 데스크탑은 모니터링되고 RTMP 라이브 스트리밍을 통해 클라우드로 라이브 스트리밍됩니다. 데스크톱의 PNG 스크린샷이 업로드되고 셸 명령이 Python 기능을 트리거하여 스스로를 종료한 다음 예약된 작업을 통해 다시 시작할 수 있다고 합니다.

 

BIOPASS RAT는 피해자의 쿠키와 로그인 데이터 파일까지 수집합니다.

 

BIOPASS RAT는 중국 게임 사이트를 통해 감염이 시작되었다고 합니다.