Cybersicherheitsforscher von CloudSEK haben eine ausgeklügelte Malware-Kampagne aufgedeckt, die gezielt unerfahrene Hacker ins Visier nimmt. Die Angreifer verbreiten eine manipulierte Version des XWorm RAT-Builders, die mit schädlichem Code versehen ist. Nach aktuellen Erkenntnissen wurden bereits mehr als 18.459 Systeme kompromittiert, hauptsächlich in Russland, den USA, Indien, der Ukraine und der Türkei.
Verteilungsstrategie und Infektionsmechanismus
Die Cyberkriminellen nutzen verschiedene populäre Plattformen zur Verbreitung ihrer Malware, darunter GitHub-Repositories, File-Sharing-Dienste, Telegram-Kanäle und YouTube. Die manipulierte Software wird als kostenlose Alternative zu kostenpflichtigen Hacking-Tools beworben, was besonders für unerfahrene Akteure, sogenannte „Script Kiddies“, verlockend erscheint.
Technische Analyse der Malware-Funktionen
Der in den Builder integrierte Backdoor verfügt über fortschrittliche Anti-Detection-Mechanismen. Nach der Aktivierung führt die Malware zunächst eine Überprüfung auf virtuelle Umgebungen durch. Bei erfolgreicher Verifizierung des Zielsystems erfolgt eine persistente Installation in der Windows-Registry. Infizierte Systeme werden automatisch über Telegram mit vordefinierten Identifikatoren an den Command & Control (C&C) Server gemeldet.
Umfangreiche Angriffsfunktionen
Die Malware unterstützt ein Arsenal von 56 verschiedenen Befehlen und ist in der Lage, sensible Daten wie Discord-Token, Systeminformationen und Standortdaten zu exfiltrieren. Die Analysen von CloudSEK zeigen, dass die Angreifer bei etwa 11% der kompromittierten Systeme erfolgreich waren und hauptsächlich Screenshots sowie Browser-Daten erbeuteten.
Gegenmaßnahmen und Eindämmungsversuche
Das CloudSEK-Forschungsteam hat Schritte zur Neutralisierung des Botnetzes eingeleitet, indem sie den eingebauten Malware-Entfernungsmechanismus nutzten und bekannte Geräte-IDs systematisch durchgingen. Trotz teilweiser Erfolge bleibt eine erhebliche Anzahl von Systemen gefährdet, bedingt durch technische Limitierungen und die spezifische Funktionsweise der Telegram-Integration.
Dieser Vorfall unterstreicht einen besorgniserregenden Trend zu „Hacker-vs-Hacker“-Angriffen und verdeutlicht die fundamentale Bedeutung grundlegender Sicherheitspraktiken. Cybersicherheitsexperten empfehlen dringend, keine Software aus zweifelhaften Quellen zu verwenden und potenzielle Hacking-Tools ausschließlich in isolierten Testumgebungen zu evaluieren. Die Implementierung mehrschichtiger Sicherheitsmaßnahmen und regelmäßige Security-Audits bleiben unverzichtbare Grundpfeiler einer effektiven Cyberabwehr.
