Un delincuente desconocido se ha enfocado en hackers inexpertos, conocidos como script kiddies. Con XWorm RAT obtuvieron un backdoor capaz de robar datos y controlar la computadora infectada.
Investigadores de CloudSEK reportan que el programa ha infectado 18,459 dispositivos en todo el mundo, la mayoría ubicados en Rusia, Estados Unidos, India, Ucrania y Turquía. El software tiene un interruptor que fue activado para desactivarlo en muchas máquinas infectadas, pero debido a limitaciones prácticas algunos permanecen comprometidos.
«Está diseñado específicamente para script kiddies que no están familiarizados con la ciberseguridad y directamente descargan y usan herramientas mencionadas en varios manuales», — se afirma en el informe.
Los investigadores recientemente descubrieron un constructor de XWorm RAT trojanizado, que se propaga a través de varios canales, incluyendo repositorios de GitHub, plataformas de alojamiento de archivos, canales de Telegram, YouTube y sitios web. Las fuentes mencionadas promocionaban el constructor RAT, afirmando que permitiría usar el software malicioso de forma gratuita.
Una vez que la computadora está infectada, XWorm verifica el registro de Windows para detectar signos de que el OS está operando en un entorno virtualizado, y detiene su funcionamiento si los resultados son positivos. Si el host cumple con los requisitos para la infección, el software malicioso realiza los cambios necesarios en el registro para asegurar su funcionamiento después del reinicio del sistema.
Cada sistema infectado se registra en un servidor de control basado en Telegram usando un identificador y token de bot de Telegram codificados. El software malicioso también roba automáticamente tokens de Discord, información del sistema y datos de ubicación (de la dirección IP) y los envía al servidor, luego espera comandos de los operadores. El programa «entiende» 56 comandos, siendo particularmente peligrosos los siguientes:
- /machine_id*browsers — roba contraseñas guardadas, cookies y datos de autocompletar de los navegadores web
- /machine_id*keylogger – registra todo lo que la víctima escribe en su computadora
- /machine_id*desktop – captura la pantalla activa de la víctima
- /machine_id*encrypt*<password> — cifra todos los archivos en el sistema usando la contraseña proporcionada
- /machine_id*processkill*<process> — termina ciertos procesos en ejecución, incluyendo el software de seguridad
- /machine_id*upload*<file> – Extrae ciertos archivos del sistema infectado
- /machine_id*uninstall – elimina el software malicioso del dispositivo
En CloudSEK descubrieron que los operadores del malware robaron datos de aproximadamente el 11% de los dispositivos infectados, principalmente a través de capturas de pantalla y uso de datos del navegador. Los investigadores interrumpieron la operación del botnet usando tokens de API codificados y un interruptor incorporado. Enviaron un comando de eliminación masiva a todos los «clientes» en todos los identificadores de máquinas conocidos que previamente extrajeron de los registros de Telegram.
Aunque estas acciones resultaron en la eliminación de XWorm RAT de muchas máquinas infectadas, aquellas que no estaban en línea en el momento de recibir el comando permanecen infectadas. Además, Telegram limita el número de mensajes, por lo que algunos comandos de eliminación pueden haberse perdido durante la transmisión.
Fuente: Bleeping Computers
Spelling error report
The following text will be sent to our editors: