Nezināms uzbrucējs ir mērķējis uz nepieredzējušiem hakeriem, pazīstamiem kā skriptu bērni. Ar XWorm RAT viņi ieguvuši aizmugures durvis, kas spēj zagt datus un kontrolēt inficēto datoru.
Pētnieki no CloudSEK ziņo, ka programma inficējusi 18 459 ierīces visā pasaulē, no kurām lielākā daļa atrodas Krievijā, Amerikas Savienotajās Valstīs, Indijā, Ukrainā un Turcijā. Programmatūrai ir izslēgšanas slēdzis, kuru aktivizēja, lai to deaktivētu daudzās inficētās mašīnās, bet praktisku ierobežojumu dēļ dažas paliek apdraudētas.
"Tā ir īpaši paredzēta skriptu bērniem, kuriem nav zināšanu par kiberdrošību un kuri tieši lejupielādē un izmanto instrumentus, kas minēti dažādās rokasgrāmatās," teikts ziņojumā.
Pētnieki nesen atklāja Trojas-Zirgu XWorm RAT konstruktoru, kas izplatās caur dažādiem kanāliem, tostarp GitHub glabātuves, failu izvietošanas platformas, Telegram kanālus, YouTube un tīmekļa vietnes. Minētie avoti reklamēja RAT konstruktoru, apgalvojot, ka tas ļaus bez maksas izmantot ļaunprātīgo programmatūru.
Pēc datora inficēšanās XWorm pārbauda Windows reģistru, lai konstatētu, vai operētājsistēma darbojas virtualizētā vidē, un pārtrauc darbību, ja rezultāti ir pozitīvi. Ja resursdators atbilst inficēšanas prasībām, ļaunprātīgā programmatūra veic nepieciešamās izmaiņas reģistrā, lai nodrošinātu darbību pēc sistēmas restartēšanas.
Katra inficētā sistēma tiek reģistrēta Telegram balstītā vadības serverī ar cieti kodētu identifikatoru un Telegram bota tokenu. Ļaunprātīgā programmatūra arī automātiski zag Discord tokenus, sistēmas informāciju un atrašanās vietas datus no IP adreses un nosūta tos uz serveri, pēc tam gaidot operatoru komandas. Programma "sprost" 56 komandas, īpaši bīstamas ir šādas:
- /machine_id*browsers — zaga saglabātās paroles, sīkdatnes un automātiskās aizpildīšanas datus no tīmekļa pārlūkprogrammām
- /machine_id*keylogger – ieraksta visu, ko upuris ievada savā datorā
- /machine_id*desktop – veic upura aktīva ekrāna attēlu
- /machine_id*encrypt*<password> — šifrē visus failus sistēmā, izmantojot norādīto paroli
- /machine_id*processkill*<process> — izbeidz noteiktus darbosies procesus, ieskaitot drošības programmatūru
- /machine_id*upload*<file> — Iegūst noteiktus failus no inficētās sistēmas
- /machine_id*uninstall – noņem ļaunprātīgo programmatūru no ierīces
CloudSEK atklāja, ka ļaunprātīgās programmatūras operatori nozaga datus aprēķināmi no 11% inficētajām ierīcēm, galvenokārt izmantojot ekrānšāviņus un pārlūku datu izmantošanu. Pētnieki traucēja botnet darbību, izmantojot cieti kodētus API tokenus un integrētu izslēgšanas slēdzi. Viņi nosūtīja masveida izdzēšanas komandu visiem "klientiem" uz visiem zināmajiem mašīnu identifikatoriem, kurus viņi iepriekš iegādājās no Telegram žurnāliem.
Lai gan šīs darbības noveda pie XWorm RAT noņemšanas no daudzām inficētām mašīnām, tās, kas nebija tiešsaistē komandu saņemšanas brīdī, paliek inficētas. Turklāt Telegram ierobežo ziņojumu skaitu, tāpēc dažas izdzēšanas komandas varēja pazust nosūtīšanas laikā.
Avots: Bleeping Computer
Komentāri (0)
Šobrīd nav neviena komentāra