Специалисты компании CloudSEK раскрыли масштабную кампанию, направленную против начинающих хакеров. Злоумышленники распространяют модифицированную версию билдера XWorm RAT, которая содержит вредоносный код и используется для компрометации систем неопытных злоумышленников. В результате атак было заражено более 18 459 устройств, преимущественно в России, США, Индии, Украине и Турции.
Механизм распространения и заражения
Вредоносный билдер активно распространялся через различные каналы, включая GitHub-репозитории, файлообменники, Telegram-каналы и YouTube. Злоумышленники позиционировали его как бесплатную альтернативу платному инструменту, что привлекло внимание начинающих хакеров, известных как «скрипт-кидди».
Технические особенности вредоносного ПО
Встроенный в билдер бэкдор обладает продвинутым функционалом для обхода защиты. При запуске малварь проверяет наличие виртуальной среды и, в случае успешной верификации целевой системы, внедряется в реестр Windows. Каждая зараженная машина регистрируется на командном сервере через Telegram с использованием предустановленных идентификаторов.
Основные возможности бэкдора
Вредоносное ПО поддерживает 56 различных команд и способно похищать критически важные данные, включая токены Discord, системную информацию и геолокационные данные. По данным CloudSEK, операторы малвари успели скомпрометировать около 11% зараженных устройств, в основном через создание скриншотов и кражу браузерных данных.
Попытки нейтрализации угрозы
Исследователи CloudSEK предприняли меры по деактивации вредоносной сети, используя встроенный механизм удаления малвари и перебор известных идентификаторов зараженных устройств. Несмотря на частичный успех операции, значительное количество систем остается под угрозой из-за технических ограничений и особенностей работы Telegram.
Данный инцидент демонстрирует растущую тенденцию к атакам типа «хакер против хакера» и подчеркивает важность соблюдения базовых принципов кибербезопасности. Специалисты настоятельно рекомендуют избегать использования непроверенного ПО из сомнительных источников и проводить тестирование подобных инструментов исключительно в изолированных средах.
