Троянская версия конструктора XWorm RAT была использована злоумышленниками для распространения вредоносного ПО среди новичков в области кибербезопасности. Они использовали платформы GitHub, Telegram и файлообменные сервисы для заражения более 18 000 устройств по всему миру. XWorm RAT представляет собой сложный троянский инструмент, который утечку конфиденциальных данных, использует передовые методы работы с реестром и виртуализацией, а также управляется через командно-контрольные серверы в Telegram.
XWorm RAT
Вредоносная программа способна перехватывать конфиденциальные данные, такие как учетные данные браузера и данные Telegram, а также обладает широким функционалом для полного контроля над зараженными системами. Она распространяется через репозиторий GitHub и другие файловые сервисы, а также использует Telegram в качестве командно-контрольной инфраструктуры. В данный момент она уже затронула более 18 000 устройств в различных странах, включая Россию, США, Индию, Украину и Турцию.
Для борьбы с распространением этой вредоносной программы был использован "выключатель", который помог смягчить ее воздействие на зараженные устройства. Однако некоторые ограничения, такие как автономные машины и ограничение скорости Telegram, создали проблемы при прерывании ее работы.
Исследованиями были выявлены идентифицированные злоумышленники, их методы работы и способы доставки вредоносного ПО. Анализ также позволил выявить различные источники заражения, включая GitHub, файлообменные сервисы, Telegram, YouTube и другие веб-сайты. Была проведена работа по разрушению инфраструктуры ботнета, чтобы снизить эффективность его работы.
Indicators of Compromise
URLs
- https://github.com/Intestio/XWorm-RAT
SHA256
- 67d9b4b35c02a19ab364ad19e1972645eb98e24dcd6f1715d2a26229deb2ccf5
- aa8f8d093a10f1b25cb99ac059f30f056d2bb5924114a00a02cf83b0de04fae3
- e92707537fe99713752f3d3f479fa68a0c8dd80439c13a2bb4ebb36a952b63fd
