Фахівці з кібербезпеки компанії CloudSEK виявили масштабну кампанію, спрямовану на компрометацію систем початківців-хакерів. Зловмисники поширюють модифіковану версію інструменту XWorm RAT, що містить прихований шкідливий код. Внаслідок цієї операції було заражено понад 18 459 пристроїв у різних країнах, включаючи Росію, США, Індію, Україну та Туреччину.
Методи поширення шкідливого ПЗ
Кіберзлочинці застосували багатовекторний підхід до розповсюдження зараженого білдера. Основними каналами дистрибуції стали репозиторії GitHub, популярні файлообмінники, Telegram-канали та YouTube. Зловмисники позиціонували своє ПЗ як безкоштовну альтернативу комерційним інструментам, що зробило його особливо привабливим для недосвідчених хакерів, відомих як script kiddies.
Технічний аналіз шкідливого коду
Вбудований у білдер бекдор демонструє високий рівень технічної складності та використовує передові методи обходу систем захисту. При активації малвар проводить перевірку на наявність віртуального середовища, а після успішної верифікації цільової системи вбудовується в реєстр Windows. Кожен інфікований пристрій реєструється на командному сервері через Telegram API з використанням унікальних ідентифікаторів.
Функціональні можливості шкідливого ПЗ
Малвар підтримує виконання 56 різних команд та має потужний функціонал для ексфільтрації конфіденційних даних. Серед його можливостей: викрадення токенів Discord, збір системної інформації та геолокаційних даних. За даними дослідження, оператори шкідливого ПЗ успішно скомпрометували близько 11% заражених систем, переважно через створення знімків екрану та викрадення даних з браузерів.
Протидія кіберзагрозі
Дослідники CloudSEK розробили та впровадили комплекс заходів для нейтралізації шкідливої мережі. Вони використали вбудований механізм видалення малвару та провели масштабний перебір відомих ідентифікаторів заражених пристроїв. Незважаючи на часткові успіхи, значна кількість систем залишається під загрозою через технічні обмеження платформи Telegram та особливості архітектури шкідливого ПЗ.
Цей інцидент яскраво демонструє зростання тенденції до кібератак типу “хакер проти хакера” та підкреслює критичну важливість дотримання базових правил кібергігієни. Фахівці з кібербезпеки наполегливо рекомендують утримуватися від використання неперевіреного програмного забезпечення з ненадійних джерел та проводити тестування подібних інструментів виключно в ізольованих середовищах з належним рівнем захисту.
