Киберпреступники установили бэкдор на 18 459 компьютеров скрипт-кидди. Злоумышленники специально искали неподготовленных хакеров, предлагая им билдер вредоносных программ.
Согласно отчёту, CloudSEK большинство заражённых машин находится в России, США, Индии, Украине и Турции.
«Атакующие использовали троянизирвоанную версию билдера XWorm RAT. При этом они специально брали в оборот скрипт-кидди — малоквалифицированных хакеров», — пишут исследователи.
В CloudSEK отметили наличие так называемого аварийного выключателя (kill switch), предназначенного для деинсталляции вредоносной программы с большинства компьютеров, но из-за наличия определённых ограничений они всё равно остались с бэкдором.
Билдер XWorm RAT распространялся сразу через несколько каналов: репозитории GitHub, файлообменники, телеграм-каналы, видео на YouTube и веб-сайты.
Попав в систему, этот фейковый билдер заражал устройство вредоносом XWorm. Последний управлялся с помощью основанного на Telegram командного центра. Интересно также, что XWorm мог вычислять виртуальную среду, чтобы исключить выполнение на компьютере исследователей.
В общей сложности вредоносная программа выполняет 56 команд, включая следующие:
- /machine_id*browsers — позволяет вытаскивать сохранённые пароли, cookies и данные автозаполнения.
- /machine_id*keylogger — записывает любой ввод с клавиатуры.
- /machine_id*desktop — фиксирует активный экран.
- /machine_id*encrypt*<password> — шифрует все файлы с помощью специально указанного пароля.
- /machine_id*processkill*<process> — завершает определённые процессы, включая антивирусные программы.
- /machine_id*upload*<file> — вытаскивает указанные файлы.
- /machine_id*uninstall — удаляет вредонос с устройства.
Кроме того, XWorm снимал скриншоты заражённых систем, один из которых приводят специалисты CloudSEK:
