Исследователи компании CloudSEK раскрыли масштабную кампанию, направленную против начинающих хакеров-«скрипт-кидди»: злоумышленники распространяли модифицированный билдер XWorm RAT, содержащий встроенный бэкдор. Вместо того чтобы получить инструмент для атак, загрузившие его сами оказывались жертвами. По данным CloudSEK, заражено более 18 459 устройств преимущественно в России, США, Индии, Украине и Турции.
Как распространялся вредоносный билдер
Отравленный билдер распространялся через каналы, привлекающие начинающих злоумышленников:
- Публичные GitHub-репозитории с заготовленными write-up’ами и «инструкциями»
- Telegram-каналы, специализирующиеся на хакерских инструментах
- YouTube-ролики с демонстрацией «бесплатного» RAT-билдера
- Файлообменные сервисы с фиктивными позитивными отзывами
Инструмент позиционировался как бесплатная альтернатива коммерческому XWorm RAT, что привлекло внимание участников с минимальными техническими знаниями.
Технические особенности вредоносного ПО
Встроенный бэкдор использовал несколько техник уклонения от обнаружения. При запуске малварь проверяла наличие виртуальной среды (sandbox detection) и, убедившись в реальности целевой системы, закреплялась в реестре Windows для обеспечения персистентности.
Каждое заражённое устройство автоматически регистрировалось на командном сервере через Telegram с использованием предустановленных токенов — это позволяло операторам управлять ботнетом без отдельной C2-инфраструктуры.
Возможности бэкдора
Вредоносное ПО поддерживало 56 команд. Основные задокументированные возможности:
- Кража токенов Discord
- Сбор браузерных данных (cookies, сохранённые пароли)
- Создание скриншотов и захват данных системы
- Сбор геолокационных данных
- Кража системной информации (hostname, username, hardware ID)
По данным CloudSEK, операторам удалось активно скомпрометировать около 11% заражённых устройств, что составляет приблизительно 2 000 машин, — преимущественно через скриншоты и кражу браузерных данных.
Нейтрализация угрозы
Исследователи CloudSEK предприняли попытку деактивации вредоносной сети, используя встроенный механизм самоудаления малвари и перебор известных идентификаторов заражённых устройств. Операция дала частичный результат, однако часть заражённых систем остаётся под угрозой из-за особенностей работы Telegram как C2-транспорта.
Полный технический отчёт об исследовании опубликован командой CloudSEK.
Что это означает для специалистов по безопасности
Кампания демонстрирует несколько важных тенденций:
- «Хакер против хакера» — операторы малвари используют сообщество скрипт-кидди как источник заражений: низкий технический уровень жертв означает меньшую осведомлённость об угрозах и более слабую защиту
- Telegram как C2-транспорт — использование легитимных мессенджеров для командного управления усложняет сетевую детекцию по сравнению с традиционной C2-инфраструктурой
- Supply-chain атаки на хакерские инструменты — отравленные версии популярных offensive-инструментов регулярно появляются на публичных платформах
Специалистам по безопасности, тестирующим offensive-инструменты, следует запускать любой непроверенный код исключительно в изолированных средах без сетевого доступа. Проверяйте хэши загружаемых файлов по официальным источникам и отслеживайте сетевые подключения тестируемых инструментов — обращение к Telegram API или неизвестным C2-серверам является немедленным индикатором компрометации.
