Более 18 тыс. неквалифицированных хакеров поразил XWorm RAT — зараженный конструктор вредоносного ПО

Неизвестный злоумышленник нацелился на неопытных хакеров, известных как script kiddies. С XWorm RAT они получили бэкдор, способный красть данные и управлять зараженным компьютером.

Исследователи из CloudSEK сообщают, что программа заразила 18 459 устройств по всему миру, большинство из которых расположены в России, Соединенных Штатах, Индии, Украине и Турции. ПО имеет выключатель, который был активирован для его обезвреживания на многих зараженных машинах, но из-за практических ограничений некоторые остаются скомпрометированными.

Исследователи недавно обнаружили троянизированный конструктор XWorm RAT, который распространяется различными каналами, включая хранилища GitHub, платформы для размещения файлов, каналы Telegram, YouTube и вебсайты. Упомянутые источники рекламировали конструктор RAT, заявляя, что он позволит бесплатно использовать зловредное программное обеспечение.

После заражения компьютера XWorm проверяет реестр Windows на признаки того, что ОС работает в виртуализированной среде, и прекращает работу, если результаты позитивны. Если хост соответствует требованиям для заражения, зловредное программное обеспечение выполняет необходимые изменения в реестре, чтобы обеспечить работу после перезагрузки системы.

Каждая зараженная система регистрируется на сервере управления на основе Telegram посредством жестко закодированного идентификатора и токена Telegram-бота. Зловредное программное обеспечение также автоматически крадет маркеры Discord, информацию о системе и данные о местоположении (с IP-адреса) и передает их на сервер, после чего ждет команд от операторов. Программа «понимает» 56 команд, особенно опасными являются следующие:

• /machine_id*browsers — крадет сохраненные пароли, файлы cookie и данные автозаполнения из веб-браузеров
• /machine_id*keylogger – записывает все, что жертва вводит на своем компьютере
• /machine_id*desktop – снимает активный экран жертвы
• /machine_id*encrypt*<password> — шифрует все файлы в системе с помощью предоставленного пароля
• /machine_id*processkill*<process> — завершает определенные запущенные процессы, включая программное обеспечение безопасности
• /machine_id*upload*<file> — Извлекает определенные файлы из зараженной системы
• /machine_id*uninstall – удаляет зловредное программное обеспечение с устройства

В CloudSEK обнаружили, что операторы зловредного ПО украли данные примерно с 11% зараженных устройств, в основном через скриншоты и использование данных браузера. Исследователи нарушили работу ботнета использованием жестко закодированных маркеров API и встроенного выключателя. Они отправили команду массового удаления всем «клиентам» на все известные идентификаторы машин, которые ранее извлекли из журналов Telegram.

Хотя эти действия привели к удалению XWorm RAT с многих зараженных машин, те, которые не были в сети в момент получения команды, остаются зараженными. Кроме того, Telegram ограничивает количество сообщений, поэтому некоторые команды на удаление могли быть утеряны во время передачи.

Источник: Bleeping Computer