Tin tặc phát tán mã độc mới BIOPASS thông qua các website cờ bạc trực tuyến của Trung Quốc

16:00 | 19/07/2021 | HACKER / MALWARE

Mới đây, các nhà nghiên cứu an ninh mạng của Trend Micro vừa đưa ra cảnh báo về một loại Trojan truy cập từ xa (RAT) mới có tên là BIOPASS đang tấn công vào các công ty cờ bạc trực tuyến ở Trung Quốc dưới dạng một cuộc tấn công lỗ hổng.

Theo nhận định của các chuyên gia thì BIOPASS RAT là một loại phần mềm độc hại tinh vi được triển khai dưới dạng các tập lệnh Python. Bên cạnh tính năng cơ bản giống các loại RAT khác như đánh giá hệ thống tệp, truy cập máy tính từ xa, lọc tệp và thực thi lệnh shell, thì phần mềm độc hại này cũng có khả năng xâm phạm của nạn nhân bằng cách đánh cắp dữ liệu trình duyệt web và ứng dụng nhắn tin. Ngoài ra, nó còn có thể sử dụng các tác vụ theo lịch trình như một phương pháp duy trì sự bền bỉ trong hệ thống bị nhiễm.

Tin tặc phát tán mã độc mới BIOPASS thông qua các website cờ bạc trực tuyến của Trung Quốc

Luồng lây nhiễm BIOPASS RAT

này hiện đang lợi dụng các công cụ phần mềm sẵn có như Open Broadcaster Software (OBS) Studio – một phần mềm mã nguồn mở để quay video và phát trực tiếp, cho phép người dùng phát trực tuyến lên Twitch, YouTube và các nền tảng khác sử dụng dịch vụ đám mây thông qua giao thức RTMP (nhắn tin thời gian thực). Dựa vào tính năng phát trực tuyến của phần mềm này, mã độc có thể ghi lại màn hình của nạn nhân và gửi cho tin tặc. Thêm vào đó, các cuộc tấn công còn lợi dụng dịch vụ lưu trữ đối tượng (OSS) của Alibaba Cloud (Aliyun) để lưu trữ các tập lệnh BIOPASS RAT Python cũng như để lưu trữ dữ liệu đã lấy từ các nạn nhân.

Hiện nay, các nhà nghiên cứu nhận thấy rằng phần mềm độc hại đã nhắm mục tiêu vào các trang web đánh bạc trực tuyến của Trung Quốc bằng cách sử dụng các trình cài đặt ứng dụng giả mạo. Tin tặc thực hiện tấn công bằng cách cài một mã vào tính năng trò chuyện hỗ trợ trực tuyến trên các web, từ đó lừa khách truy cập chuyển hướng đến các trang cung cấp trình cài đặt độc hại. Các trình tải phần mềm độc hại này thường được ngụy trang thành trình cài đặt hợp pháp cho Adobe Flash Player hoặc Microsoft Silverlight. Khi theo dõi và phân tích trình tải ngụy tạo có chứa BIOPASS RAT này, các nhà nghiên cứu thấy rằng nó tải một shellcode Cobalt Strike hoặc một cửa hậu Python.

Cụ thể là sau khi BIOPASS RAT được thiết lập và chạy, nó sẽ tìm kiếm hoặc tạo một cửa hậu nếu cần và thêm dấu thời gian. Sau đó, nó tải một tập lệnh Python có nhãn “online.txt” để mở máy chủ HTTP và lắng nghe các số cổng: 43990, 43992, 53990, 33990, 33890, 48990, 12880, 22880, 32880, 42880, 52880 hoặc 62880. Tiếp đến BIOPASS RAT sẽ truy cập thư mục gốc và tìm một tệp có tên “bps.key” có chứa ID người dùng được máy chủ trung tâm tạo cho nạn nhân. Từ đó BIOPASS RAT nhận mọi thông tin thậm chí còn thu thập cookie và tệp dữ liệu đăng nhập của nạn nhân.

Phần mềm độc hại được cho là đang tập trung vào việc đánh cắp dữ liệu cá nhân từ các trình duyệt web và các ứng dụng nhắn tin phổ biến nhất ở Trung Quốc, bao gồm QQ Browser, 2345 Explorer, Sogou Explorer và 360 Safe Browser, WeChat, QQ và Aliwangwang.

Hiện nay các nhà nghiên cứu chưa rõ chính xác tổ chức/cá nhân nào đứng sau dòng phần mềm độc hại này, tuy nhiên nó có thể được liên kết với nhóm Winnti APT (hay còn gọi là APT41) một nhóm tin tặc của Trung Quốc chuyên tấn công gián điệp mạng và thực hiện tấn công vì lợi nhuận vào các công ty trò chơi trực tuyến trên khắp Đông Nam Á.

Phạm Nam

(Theo Thehackernews)

‹ › ×

Tin liên quan

Trojan TeaBot nhắm mục tiêu tới các ngân hàng châu Âu

15:00 | 10/06/2021

Các nhà nghiên cứu bảo mật của Cleafy mới đây đã phát hiện ra một trojan ngân hàng mới nhắm mục tiêu tới 60 ngân hàng ở Đức, Tây Ban Nha, Ý, Bỉ và Hà Lan. Biến thể phần mềm độc hại Android mới này được đặt tên là TeaBot.

Phát hiện mã độc mới tự ẩn mình trong thư mục loại trừ của Windows Defense

17:00 | 28/07/2021

Các nhà nghiên cứu an ninh mạng đã thông báo về một dòng mã đôc mới có tên là "MosaicLoader" chưa từng thấy trước đây. Đây là một mã độc đặc biệt có khả năng tự ẩn mình trong thư mục loại trừ của Windows Defense để tránh bị phát hiện.

Hàng loạt máy tính bị lợi dụng để phát tán mã độc

14:00 | 30/09/2022

Trung tâm Giám sát an toàn không gian mạng quốc gia (Bộ TT&TT) cho biết, theo thống kê mới nhất cho thấy có hàng nghìn máy tính bị lợi dụng để phát tán mã độc.

Na Uy cáo buộc tin tặc Trung Quốc tấn công mạng vào hệ thống công nghệ thông tin của nước này

08:00 | 27/09/2021

Dựa trên các bằng chứng kỹ thuật được các cơ quan tình báo trung ương Na Uy thu thập, chính phủ nước này đã cáo buộc nhóm tin tặc Trung Quốc APT 31 (tên gọi khác ZIRCONIUM, JUDGMENT PANDA, BRONZE VINEWOOD) đã tấn công các trung tâm của chính phủ vào năm 2018. Thông tin này đã được công bố bởi hãng truyền hình và phát thanh Na Uy NRK.

Tin tặc Trung Quốc giả danh tổng thống Afghanistan tấn công vào các cơ quan chính phủ

10:00 | 12/07/2021

Ngày 01/7/2021, Check Point Research cho biết Văn phòng Tổng thống Afghanistan, đại diện cho Tổng thống Ashraf Ghani đã bị một nhóm tin tặc Trung Quốc sử dụng để thu hút các email lừa đảo được thiết kế để xâm nhập vào các cơ quan chính phủ ở nước này.

Tin tặc Trung Quốc nhắm mục tiêu vào các tổ chức quân sự Đông Nam Á

07:00 | 24/05/2021

Ngày 28/4/2021, Bitdefender đưa tin một nhóm gián điệp mạng được cho là có liên quan đến chính phủ Trung Quốc nhắm mục tiêu vào các tổ chức quân sự ở Đông Nam Á, trong các cuộc tấn công liên quan đến phần mềm độc hại chưa được biết tới.

Tin tặc dùng hồ sơ trực tuyến lừa người dùng tải mã độc

13:00 | 04/08/2021

Một chiến dịch gián điệp mạng được cho là có liên quan đến quân đội Iran đã lừa các nạn nhân bằng cách dùng các hồ sơ mạng xã hội giả để đánh cắp tên, mật khẩu và các thông tin nhạy cảm khác của người dùng.

Quy trình ứng cứu, xử lý sự cố mã độc

10:00 | 15/08/2021

Mã độc đã trở thành mối lo ngại mất an toàn thông tin “ám ảnh và dai dẳng” đối với các tổ chức, doanh nghiệp. Đặc biệt, với sự xuất hiện ngày càng nhiều các mã độc mới như mã độc siêu đa hình, mã độc tống tiền, mã độc tấn công có chủ đích… đặt ra vấn đề cấp thiết phải điều phối, ứng cứu, xử lý sự cố mã độc toàn diện, triệt để trong hệ thống mạng để loại bỏ, hạn chế các rủi ro từ loại hình tấn công này.

Tin cùng chuyên mục

Các thành viên của nhóm tin tặc LockBit và Evil Corp bị trừng phạt

12:00 | 15/10/2024

Một làn sóng hành động thực thi pháp luật quốc tế mới với sự tham gia của 12 quốc gia đã bắt giữ 4 thành viên và phá hủy 9 máy chủ có liên quan đến hoạt động tống tiền LockBit (hay còn gọi là Bitwise Spider), đánh dấu đợt tấn công mới nhất nhằm vào băng nhóm tội phạm mạng từng có động cơ tài chính mạnh mẽ.

Hơn 11 triệu thiết bị Android có thể bị nhiễm mã độc Necro

12:00 | 03/10/2024

Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.

6 triệu mã số định danh người nộp thuế tại Indonesia bị rò rỉ và rao bán

07:00 | 27/09/2024

Tổng cộng 6 triệu mã số định danh người nộp thuế Indonesia đã bị rò rỉ và rao bán công khai với giá 10.000 USD. Ngoài mã số định danh người nộp thuế, dữ liệu bị rò rỉ bao gồm mã số định danh quốc gia, email, địa chỉ, số điện thoại và thông tin cá nhân khác.

Tin tặc APT41 sử dụng ShadowPad, Cobalt Strike trong cuộc tấn công mạng vào Viện Đài Loan

14:00 | 20/08/2024

Theo Cisco Talos, một viện nghiên cứu trực thuộc chính phủ Đài Loan chuyên về điện toán và các công nghệ liên quan đã bị nhóm tin tặc có mối liên kết với Trung Quốc tấn công.