Компания CloudSEK сообщила о масштабной кибератаке, жертвами которой стали около 18 000 пользователей, преимущественно из России, США, Индии, Украины и Турции. Злоумышленники распространяли троянизированную версию компилятора вредоносного ПО XWorm RAT, маскируя его под бесплатный инструмент для создания программ удаленного доступа.
Об этом сообщает издание CNews.Поддельная программа распространялась через популярные онлайн-платформы, включая GitHub, файловые хостинги, Telegram-каналы и YouTube. Жертвами атаки стали, по всей видимости, малоопытные хакеры, скачавшие вредоносный софт, не проверив его безопасность.
XWorm RAT, после запуска, проверяет систему на наличие средств виртуализации и отладки. Если таковых нет, троян внедряется в системный реестр, обеспечивая автоматический запуск при каждой перезагрузке. Далее он регистрируется на командном сервере, использующем Telegram-бота, и начинает сбор информации.
Вредитель способен похищать токены Discord, системные данные, определять геолокацию по IP-адресу и отправлять все это на сервер управления. Функционал XWorm RAT включает 56 команд, среди которых кража паролей, файлов cookie, данных автозаполнения, перехват нажатий клавиш, создание скриншотов, завершение процессов (включая антивирусные), удаление файлов и, что наиболее опасно, шифрование данных по команде оператора.
CloudSEK удалось нейтрализовать ботнет, используя API-токены, заложенные в код вредоноса, для массовой отправки команды самоудаления. По предварительным данным, операторы атаки успели получить доступ к данным с примерно 11% заражённых устройств.
Свежие комментарии