Um agente de ameaça direcionou hackers de baixa habilidade, conhecidos como "script kiddies", com um construtor de malware falso que secretamente os infectou com um backdoor para roubar dados e tomar controle dos computadores.
Pesquisadores de segurança na CloudSEK relatam que o malware infectou 18.459 dispositivos globalmente, a maioria localizada na Rússia, Estados Unidos, Índia, Ucrânia e Turquia.
"Uma versão trojanizada do construtor XWorm RAT foi armada e propagada", lê-se no relatório da CloudSEK.
É direcionado especialmente para script kiddies que são novos em cibersegurança e baixam e usam ferramentas mencionadas em vários tutoriais, mostrando assim que não há honra entre os ladrões.
A CloudSEK encontrou o malware incluindo um kill switch que foi ativado para desinstalar o malware de muitas das máquinas infectadas, mas devido a limitações práticas, algumas permanecem comprometidas.
Os pesquisadores dizem que recentemente descobriram um construtor XWorm RAT trojanizado sendo distribuído através de vários canais, incluindo repositórios GitHub, plataformas de hospedagem de arquivos, canais de Telegram, vídeos do YouTube e websites.
Essas fontes promoviam o construtor RAT, afirmando que permitiria a outros agentes de ameaça utilizar o malware sem ter que pagar por ele.
No entanto, em vez de ser um construtor real para o XWorm RAT, ele infectava os dispositivos do agente de ameaça com o malware.
Uma vez que uma máquina é infectada, o malware XWorm verifica o Registro do Windows para sinais de que está rodando em um ambiente virtualizado e para se os resultados forem positivos.
Se o hospedeiro se qualificar para a infecção, o malware realiza as modificações necessárias no Registro para garantir persistência entre as inicializações do sistema.
Cada sistema infectado é registrado em um servidor de comando e controle (C2) baseado em Telegram usando um ID de bot Telegram e token codificados.
O malware também rouba automaticamente tokens do Discord, informações do sistema e dados de localização (a partir do endereço IP), e os exfiltra para o servidor C2.
Então, ele aguarda por comandos dos operadores.
Dos 56 comandos compatíveis no total, os seguintes são particularmente perigosos:
/machine_id*browsers – Roubar senhas salvas, cookies e dados de preenchimento automático dos navegadores da web
/machine_id*keylogger – Registrar tudo o que a vítima digita em seu computador
/machine_id*desktop – Capturar a tela ativa da vítima
/machine_id*encrypt*<senha> - Criptografar todos os arquivos no sistema usando uma senha fornecida
/machine_id*processkill*<processo> - Terminar processos específicos em execução, incluindo softwares de segurança
/machine_id*upload*<arquivo> - Exfiltrar arquivos específicos do sistema infectado
/machine_id*uninstall – Remover o malware do dispositivo
A CloudSEK descobriu que os operadores do malware exfiltraram dados de aproximadamente 11% dos dispositivos infectados, principalmente tirando capturas de tela dos dispositivos infectados, como mostrado abaixo, e roubando dados de navegadores.
Os pesquisadores da CloudSEK interromperam o botnet utilizando tokens de API codificados e um kill switch integrado para desinstalar o malware dos dispositivos infectados.
Para fazer isso, eles enviaram um comando de desinstalação em massa para todos os clientes ouvintes, passando por todos os IDs de máquina conhecidos que haviam extraído previamente dos logs do Telegram.
Eles também forçaram a entrada de IDs de máquina de 1 a 9999, assumindo um padrão numérico simples.
Embora isso tenha causado a remoção do malware de muitas das máquinas infectadas, aquelas que não estavam online quando o comando foi emitido permanecem comprometidas.
Além disso, o Telegram sujeita mensagens a um limite de taxa, então alguns dos comandos de desinstalação podem ter sido perdidos no trânsito.
Hackers hackeando hackers é um cenário comum que frequentemente vemos se manifestar no meio.
A lição dos achados da CloudSEK é nunca confiar em softwares não assinados, especialmente aqueles distribuídos por outros criminosos cibernéticos, e instalar construtores de malware apenas em ambientes de teste/análise.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...