# BIOPASS RAT > Tipo: **RAT Python** - [Trend Micro](https://www.trendmicro.com/en_us/research/21/g/biopass-rat-new-malware-that-sniffs-victim-s-screen-using-live-s.html) > [!info] RAT Python com Live Streaming via OBS Studio - Espionagem de Jogo Online > O BIOPASS RAT e um Remote Access Trojan desenvolvido em Python, identificado pela Trend Micro em julho de 2021, usado pelo grupo [[g1006-earth-lusca|Earth Lusca]] (ligado ao [[g0096-apt41|APT41]]/Winnti) contra sites de jogos de azar e apóstas online na China e Sudeste Asiatico. Caracteristica única: usa o OBS Studio (Open Broadcaster Software) para fazer streaming ao vivo da tela da vitima via protocolo RTMP para servidores Alibaba Cloud - tornando a espionagem em tempo real indistinguivel de streaming legítimo. ## Visão Geral O [[biopass-rat|BIOPASS RAT]] e um Remote Access Trojan escrito em Python e empacotado com PyInstaller, identificado pela Trend Micro em julho de 2021. O implante foi descoberto em ataques contra sites de jogos de azar e cassinos online no Sudeste Asiatico - especialmente no segmento de apóstas chinesas operando em jurisdicoes offshore como Cambojá, Filipinas e Macau. A caracteristica técnica mais notavel do BIOPASS RAT e seu método de exfiltração visual: o implante instala o OBS Studio (Open Broadcaster Software) legitimo e o configura para capturar a tela da vitima e transmitir via RTMP para servidores na infraestrutura Alibaba Cloud controlados pelo atacante ([[t1125-video-capture|T1125]]). Isso permite que os operadores vejam em tempo real o que a vitima esta fazendo - incluindo credenciais digitadas, documentos abertos e comúnicacoes internas - enquanto o trafego de rede parece ser streaming de video legitimo. O BIOPASS RAT e atribuido ao [[g1006-earth-lusca|Earth Lusca]], um cluster de atividade identificado pela Trend Micro como possívelmente ligado ao [[g0096-apt41|APT41]] (também conhecido como Winnti, BARIUM, Double Dragon). A conexão e estabelecida por sobreposicao de infraestrutura, TTPs e alvos com campanhas anteriores do APT41 contra o setor de jogos de azar. O vetor de infecção inicial era a comprometimento de sites de cassinos online (watering hole) - quando jogadores visitavam o site comprometido, eram redirecionados para paginas falsas de suporte ou atualização de software que distribuiam o instalador do BIOPASS RAT. **Plataformas:** Windows ## Como Funciona O BIOPASS RAT opera com infecção via watering hole e espionagem via streaming OBS: 1. **Watering hole**: site de cassino/apóstas online comprometido redireciona usuario para pagina de suporte falsa 2. **Entrega do instalador**: usuario baixa "atualização" de Flash Player ou plugin de suporte que instala o BIOPASS RAT 3. **Instalacao**: PyInstaller bundle instala o RAT e, silenciosamente, o OBS Studio 4. **Configuração OBS**: BIOPASS RAT configura OBS para captura de tela e streaming RTMP para Alibaba Cloud 5. **Streaming ao vivo**: tela da vitima e transmitida em tempo real para os operadores ([[t1125-video-capture|T1125]]) 6. **Controle remoto adicional**: comandos para execução de shell, coleta de arquivos e informações do sistema ```mermaid graph TB A["Watering Hole<br/>Site cassino comprometido<br/>Redirecionamento para suporte falso"] --> B["Instalador Malicioso<br/>Flash update / plugin falso<br/>BIOPASS RAT + OBS Studio"] B --> C["Configuração OBS<br/>Screen capture configurado<br/>Streaming RTMP Alibaba Cloud"] C --> D["Live Streaming Ativo<br/>Tela vitima em tempo real<br/>T1125 Video Capture"] D --> E["Reconhecimento<br/>Credenciais documentos<br/>T1082 T1005 via screen"] E --> F["Coleta Adicional<br/>Arquivos locais T1005<br/>Exfiltração cloud T1567.002"] classDef watering fill:#e74c3c,color:#fff classDef install fill:#e67e22,color:#fff classDef obs fill:#8e44ad,color:#fff classDef stream fill:#2980b9,color:#fff classDef recon fill:#27ae60,color:#fff classDef collect fill:#2c3e50,color:#fff class A watering class B install class C obs class D stream class E recon class F collect ``` ## Timeline ```mermaid timeline title BIOPASS RAT - Historico Jun 2021 : BIOPASS RAT identificado pela Trend Micro : Ataques contra setor de jogos de azar Sudeste Asiatico Jul 2021 : Trend Micro publica análise completa : OBS Studio RTMP streaming documentado : Atribuicao a Earth Lusca / APT41 2022 : Atividade reduzida - BIOPASS RAT menos ativo : Earth Lusca migra para outros implantes 2023+ : Considerado substancialmente inativo : Técnica de OBS streaming documentada e replicada ``` ## Técnicas Utilizadas | Tática | ID | Técnica | |--------|-----|---------| | Initial Access | [[t1190-exploit-public-facing-application\|T1190]] | Watering hole em sites de cassinos comprometidos | | Execution | [[t1059-006-python\|T1059.006]] | RAT Python empacotado com PyInstaller | | Defense Evasion | [[t1027-obfuscated-files-or-information\|T1027]] | PyInstaller bundle + OBS como cobertura | | Collection | [[t1113-screen-capture\|T1113]] | Captura continua de tela | | Collection | [[t1125-video-capture\|T1125]] | Streaming ao vivo via OBS RTMP | | Collection | [[t1005-data-from-local-system\|T1005]] | Coleta de arquivos locais | | Discovery | [[t1082-system-information-discovery\|T1082]] | Informacoes do sistema comprometido | | C2 | [[t1071-001-web-protocols\|T1071.001]] | HTTP/RTMP para Alibaba Cloud | | Exfiltration | [[t1567-002-exfiltration-to-cloud-storage\|T1567.002]] | Exfiltração via Alibaba Cloud Storage | ## Relevância LATAM/Brasil O BIOPASS RAT tem relevância moderada para o Brasil. O setor de jogos de azar e apóstas online tem crescido significativamente no Brasil após a regulamentacao em andamento, e grupos como o [[g1006-earth-lusca|Earth Lusca]] / [[g0096-apt41|APT41]] tem historico de atacar plataformas de jogos em qualquer regiao onde ha receita significativa. A técnica de streaming via OBS e particularmente relevante para o contexto brasileiro: o RTMP para servicos de cloud legitimos (Alibaba, AWS, Azure) e dificilmente detectado por soluções de segurança tradicionais. Plataformas de jogos e apóstas online brasileiras devem incluir monitoramento de instalacao do OBS Studio em servidores de producao. **Setores historicamente impactados:** jogos de azar - [[financial|financeiro]] - [[technology|tecnologia]] ## Detecção - Monitorar instalacao do OBS Studio em sistemas corporativos ou de producao por processos nao-autorizados - Detectar conexoes RTMP (porta 1935) de processos que nao sejam streaming apps conhecidos - Alertar para processos Python que acessam APIs do OBS ou configuracoes de streaming - YARA para caracteristicas de binarios PyInstaller com strings relacionadas a OBS ou RTMP ```sigma title: BIOPASS RAT OBS RTMP Streaming Suspicious status: experimental logsource: category: network_connection product: windows detection: selection: DestinationPort: 1935 filter_legit: Image|contains: - '\obs64.exe' - '\obs32.exe' - '\streamlabs' condition: selection and not filter_legit level: high tags: - attack.collection - attack.t1125 ``` ## Referências - [1](https://www.trendmicro.com/en_us/research/21/g/biopass-rat-new-malware-that-sniffs-victim-s-screen-using-live-s.html) Trend Micro - BIOPASS RAT New Malware Using OBS Live Streaming (2021) - [2](https://attack.mitre.org/groups/G0007/) MITRE ATT&CK - APT41 Group Profile G0007 (2024) - [3](https://malpedia.caad.fkie.fraunhofer.de/details/win.biopass_rat) Malpedia - BIOPASS RAT Family Details (2022) - [4](https://www.mandiant.com/resources/blog/apt41-us-state-governments) Mandiant - APT41 Earth Lusca Activity (2022) - [5](https://unit42.paloaltonetworks.com/apt41-attacks-asia-gambling-sector/) Unit 42 - APT41 Earth Lusca Gambling Sector Attacks (2021)