Понад 18 тис. некваліфікованих хакерів вразив XWorm RAT — заражений конструктор шкідливого ПЗ

Невідомий зловмисник націлився на недосвідчених хакерів, відомих як script kiddies. З XWorm RAT вони отримали бекдор, здатний викрадати дані та керувати зараженим комп’ютером.

Дослідники з CloudSEK повідомляють, що програма уразила 18 459 пристроїв у всьому світі, більшість з яких розташовані в Росії, Сполучених Штатах, Індії, Україні та Туреччині. ПЗ має вимикач, який був активований для його знешкодження на багатьох інфікованих машинах, але через практичні обмеження деякі залишаються скомпрометованими.

Дослідники нещодавно виявили троянізований конструктор XWorm RAT, який поширюється різними каналами, включаючи сховища GitHub, платформи для розміщення файлів, канали Telegram, YouTube та вебсайти. Згадані джерела рекламували конструктор RAT, заявляючи, що він дозволить безплатно використовувати зловмисне програмне забезпечення.

Після зараження комп’ютера XWorm перевіряє реєстр Windows на ознаки того, що ОС працює у віртуалізованому середовищі, і припиняє роботу, якщо результати позитивні. Якщо хост відповідає вимогам для зараження, зловмисне програмне забезпечення виконує необхідні зміни в реєстрі, щоб забезпечити роботу після перезавантаження системи.

Кожна інфікована система реєструється на сервері керування на основі Telegram за допомогою жорстко закодованого ідентифікатора та токена Telegram-бота. Зловмисне програмне забезпечення також автоматично викрадає маркери Discord, інформацію про систему та дані про місцеперебування (з IP-адреси) і передає їх на сервер, після чого чекає команд від операторів. Програма «розуміє» 56 команд, особливо небезпечними є наступні:

• /machine_id*browsers — краде збережені паролі, файлів cookie та даних автозаповнення з веббраузерів
• /machine_id*keylogger – записує все, що жертва вводить на своєму комп’ютері
• /machine_id*desktop – знімає активний екран жертви
• /machine_id*encrypt*<password> — шифрує усі файли в системі за допомогою наданого пароля
• /machine_id*processkill*<process> — завершує певні запущені процеси, включаючи програмне забезпечення безпеки
• /machine_id*upload*<file> – Вилучити певні файли із зараженої системи
• /machine_id*uninstall – видаліть зловмисне програмне забезпечення з пристрою

У CloudSEK виявили, що оператори зловмисного ПЗ викрали дані приблизно з 11% заражених пристроїв, в основному через скриншоти та використання даних браузера. Дослідники порушили роботу ботнету використанням жорстко закодованих маркерів API та вбудованого вимикача. Вони надіслали команду масового видалення всім «клієнтам» на всі відомі ідентифікатори машин, які раніше витягли з журналів Telegram.

Хоча ці дії призвели до видалення XWorm RAT з багатьох заражених машин, ті, які не були у мережі на момент надходження команди, залишаються зараженими. Крім того, Telegram обмежує кількість повідомлень, тому деякі команди на видалення могли бути втрачені під час передавання.

Джерело: Bleeping Computers