Раздел Технологии выходит при поддержке
Неизвестный злоумышленник нацелился на неопытных хакеров, известных как script kiddies. С XWorm RAT они получили бэкдор, способный красть данные и управлять зараженным компьютером.
Исследователи из CloudSEK сообщают, что программа заразила 18 459 устройств по всему миру, большинство из которых расположены в России, Соединенных Штатах, Индии, Украине и Турции. ПО имеет выключатель, который был активирован для его обезвреживания на многих зараженных машинах, но из-за практических ограничений некоторые остаются скомпрометированными.
«Оно предназначено специально для script kiddies, которые не знакомы с кибербезопасностью и непосредственно загружают и используют инструменты, упомянутые в различных руководствах», — говорится в отчете.
Исследователи недавно обнаружили троянизированный конструктор XWorm RAT, который распространяется различными каналами, включая хранилища GitHub, платформы для размещения файлов, каналы Telegram, YouTube и вебсайты. Упомянутые источники рекламировали конструктор RAT, заявляя, что он позволит бесплатно использовать зловредное программное обеспечение.
После заражения компьютера XWorm проверяет реестр Windows на признаки того, что ОС работает в виртуализированной среде, и прекращает работу, если результаты позитивны. Если хост соответствует требованиям для заражения, зловредное программное обеспечение выполняет необходимые изменения в реестре, чтобы обеспечить работу после перезагрузки системы.
Каждая зараженная система регистрируется на сервере управления на основе Telegram посредством жестко закодированного идентификатора и токена Telegram-бота. Зловредное программное обеспечение также автоматически крадет маркеры Discord, информацию о системе и данные о местоположении (с IP-адреса) и передает их на сервер, после чего ждет команд от операторов. Программа «понимает» 56 команд, особенно опасными являются следующие:
- /machine_id*browsers — крадет сохраненные пароли, файлы cookie и данные автозаполнения из веб-браузеров
- /machine_id*keylogger – записывает все, что жертва вводит на своем компьютере
- /machine_id*desktop – снимает активный экран жертвы
- /machine_id*encrypt*<password> — шифрует все файлы в системе с помощью предоставленного пароля
- /machine_id*processkill*<process> — завершает определенные запущенные процессы, включая программное обеспечение безопасности
- /machine_id*upload*<file> — Извлекает определенные файлы из зараженной системы
- /machine_id*uninstall – удаляет зловредное программное обеспечение с устройства
В CloudSEK обнаружили, что операторы зловредного ПО украли данные примерно с 11% зараженных устройств, в основном через скриншоты и использование данных браузера. Исследователи нарушили работу ботнета использованием жестко закодированных маркеров API и встроенного выключателя. Они отправили команду массового удаления всем «клиентам» на все известные идентификаторы машин, которые ранее извлекли из журналов Telegram.
Хотя эти действия привели к удалению XWorm RAT с многих зараженных машин, те, которые не были в сети в момент получения команды, остаются зараженными. Кроме того, Telegram ограничивает количество сообщений, поэтому некоторые команды на удаление могли быть утеряны во время передачи.
Хакери можуть бачити текст на екрані через випромінення HDMI — метод вже використовують
СпецпроектыМікрофони HyperX QuadCast 2 та QuadCast 2S: чистий звук у складних умовах, інноваційна підсвітка та свій застосунокЧи є користь від ноутбука з двома екранами та чи зручно за ним працювати? Розбираємося на прикладі ASUS Zenbook DUO
Источник: Bleeping Computer
Раздел Технологии выходит при поддержке
Favbet Tech – это IT-компания со 100% украинской ДНК, которая создает совершенные сервисы для iGaming и Betting с использованием передовых технологий и предоставляет доступ к ним. Favbet Tech разрабатывает инновационное программное обеспечение через сложную многокомпонентную платформу, способную выдерживать огромные нагрузки и создавать уникальный опыт для игроков.
