18 000 скрипт-кидди заражены бэкдором через вредоносный билдер XWorm RAT - «Новости»

Аналитики компании CloudSEK обнаружили, что злоумышленники атакуют низкоквалифицированных хакеров, с помощью фальшивого билдера малвари. Системы скрипт-кидди оказываются заражены бэкдором, который используется для кражи данных и последующего захвата компьютеров.

Таким атакам подверглись 18 459 устройств по всему миру, большинство из которых находились в России, США, Индии, Украине и Турции.

Исследователи пишут, что вредоносная программа содержит в себе «рубильник», который уже был активирован для удаления малвари со многих зараженных машин. Однако из-за ряда ограничений многие системы по-прежнему остаются скомпрометированными.

Зараженный билдер распространялся разными способами, включая репозитории на GitHub, платформы для обмена файлами, Telegram-каналы, видеоролики на YouTube и различные сайты. Во всех этих источниках билдер XWorm RAT рекламировался как бесплатный инструмент и утверждалось, что за это вредоносное ПО не нужно платить.

Однако на деле билдер сам содержал малварь, которая проверяла реестр Windows на наличие признаков виртуализированной среды, и прекращала работу, если результат был положительный. Если же хост соответствовал критериям заражения, вредонос вносил необходимые изменения в реестр, чтобы закрепиться в системе. Каждая зараженная машина регистрировалась на управляющем сервере в Telegram с помощью жестко закодированного идентификатора и токена Telegram-бота.

Затем малварь похищала с машины неудавшегося хакера токены Discord, системную информацию и данные о местоположении  (по IP-адресу), передавая их на сервер злоумышленников. После этого вредонос ожидал получения других команд от своих операторов.

В общей сложности бэкдор поддерживает 56 команд, но наиболее опасными исследователи сочли следующие:

• /machine_id*browsers — кража сохраненных паролей, файлов cookie и данных автозаполнения из браузеров;


• /machine_id*keylogger — запись всего, что жертва набирает на клавиатуре своего компьютера;


• /machine_id*desktop — захват экрана жертвы;


• /machine_id*encrypt* — шифрование всех файлов в системе с помощью предоставленного пароля;


• /machine_id*processkill* — завершение определенных процессов, включая процессы защитного ПО;


• /machine_id*upload* — скачивание определенных файлов из зараженной системы;


• /machine_id*uninstall — удаление вредоносной программы с устройства.

CloudSEK отмечает, что операторы вредоноса похитили данные примерно с 11% зараженных устройств, в основном делая скриншоты и воруя информацию из браузеров.

Специалисты компании попытались разрушить этот ботнет, используя жестко закодированные API-токены и встроенный «рубильник», предназначенный для удаления малвари с зараженных устройств. Для этого они отправили команду удаления всем клиентам, перебрав все известные ID зараженных машин, которые извлекли из логов в Telegram. Также исследователи перебрали идентификаторы от 1 до 9999 брутфорсом, предполагая, что злоумышленники могли использовать простой числовой шаблон.

Хотя это привело к удалению бэкдора из многих зараженных систем, те машины, которые не были в сети в момент отправки команды, остались скомпрометированными. Кроме того, из-за ограничений Telegram при передаче сообщений, некоторые команды на удаление малвари могли потеряться при передаче.

Эксперты CloudSEK резюмируют, что хакеры регулярно взламывают других хакеров. Поэтому не следует доверять неподписанному ПО, особенно распространяемому киберпреступниками, а работать с билдерами малвари нужно только в тестовых и аналитических средах.