Матёрые хакеры заразили 18 000 компьютеров скрипт-кидди бэкдором

Киберпреступники установили бэкдор на 18 459 компьютеров скрипт-кидди. Злоумышленники специально искали неподготовленных хакеров, предлагая им билдер вредоносных программ.

Согласно отчёту, CloudSEK большинство заражённых машин находится в России, США, Индии, Украине и Турции.

«Атакующие использовали троянизирвоанную версию билдера XWorm RAT. При этом они специально брали в оборот скрипт-кидди — малоквалифицированных хакеров», — пишут исследователи.

В CloudSEK отметили наличие так называемого аварийного выключателя (kill switch), предназначенного для деинсталляции вредоносной программы с большинства компьютеров, но из-за наличия определённых ограничений они всё равно остались с бэкдором.

Билдер XWorm RAT распространялся сразу через несколько каналов: репозитории GitHub, файлообменники, телеграм-каналы, видео на YouTube и веб-сайты.

Попав в систему, этот фейковый билдер заражал устройство вредоносом XWorm. Последний управлялся с помощью основанного на Telegram командного центра. Интересно также, что XWorm мог вычислять виртуальную среду, чтобы исключить выполнение на компьютере исследователей.

В общей сложности вредоносная программа выполняет 56 команд, включая следующие:

• /machine_id*browsers — позволяет вытаскивать сохранённые пароли, cookies и данные автозаполнения.
• /machine_id*keylogger — записывает любой ввод с клавиатуры.
• /machine_id*desktop — фиксирует активный экран.
• /machine_id*encrypt*<password> — шифрует все файлы с помощью специально указанного пароля.
• /machine_id*processkill*<process> — завершает определённые процессы, включая антивирусные программы.
• /machine_id*upload*<file> — вытаскивает указанные файлы.
• /machine_id*uninstall — удаляет вредонос с устройства.

Кроме того, XWorm снимал скриншоты заражённых систем, один из которых приводят специалисты CloudSEK: