По мнению экспертов компании, злоумышленник атаковал низкоквалифицированных хакеров (script kiddies – «кулхацкеров») с использованием поддельного билдера, или компилятора, вредоносной программы XWorm RAT. Это троянец для обеспечения удаленного доступа.
Жертвы очевидно мало смыслят в кибербезопасности и попросту скачивают что попало – вредоносы, рекламируемые через всякие сетевые ресурсы.
Устройства хакеров были заражены с помощью троянца, замаскированного под инструмент для создания вредоносных программ
Троянизированный XWorm RAT распространялся через репозитории GitHub, платформы файлового хостинга, каналы в Telegram и видео на Youtube. Во всех этих ресурсах троянизированный компилятор подавался как средство создания RAT-программ, за которые не надо платить. Попав на устройство жертвы, эта программа проверяет систему на предмет признаков виртуализации или отладочной среды. Если обнаруживаются свидетельствующие об этом процессы, программа прекращает функционировать. Если же система оказывается самой обычной, то вредонос вносит в системный реестр изменения, позволяющие ему перезапускаться после каждой перезагрузки. Зараженная система также регистрируется в командном сервере, базирующемся на платформе Telegram. Для этого используется фиксированный идентификатор и токен Telegram-бота.
Далее вредонос автоматически крадет токены Discord, сведения о системе, по IP-адресу определяет ее физическое месторасположение, отправляет всю эту информацию на контрольный сервер и ждет дополнительных команд от оператора. Всего поддерживается 56 команд: вредонос может попытаться выкрасть пароли, файлы cookie и информацию для автозаполнения форм из веб-браузера. Кроме того, он умеет перехватывать нажатия клавиш, делать скриншоты, останавливать определенные процессы (в том числе связанные с защитным ПО), выводить файлы определенных типов из системы. Вариант с самоудалением также предполагается. Самой же опасной, пожалуй, является способность шифровать любые файлы с использованием присланного с контрольного сервера пароля.
Недобитый ботнет
Эксперты CloudSEK обнаружили, что операторы вредоноса вывели данные приблизительно из 11% зараженных устройств.
Исследователям удалось нейтрализовать оформившийся ботнет с помощью фиксированных API-токенов в коде вредоноса, что обеспечило им возможность массово разослать циклическую команду на самоудаление по всем машинам, подключенным на тот момент к Сети, сопровождавшуюся перебором идентификаторов, извлеченных из логов Telegram.
Как отмечается в публикации, исследователи провели также брут-форс всех идентификаторов с 1 по 9999, используя простой численный паттерн. Это позволило нейтрализовать только часть ботнета, поскольку, во-первых, не все машины были онлайн в момент запуска команды, а во-вторых, алгоритмы Telegram ограничивают массовые рассылки, так что некоторые сообщения могли не дойти.
«Хакеры активно атакуют друг друга, это известно давно, – отмечает Никита Павлов, эксперт по информационной безопасности компании SEQ. – Ни о какой «цеховой солидарности» речи тут не идет, если есть, что украсть, попытки это сделать будут предприняты».
Эксперт добавил, что в данном случае оператор всей этой кампании мог действовать в том числе из желания проучить «хакеров-недоучек», хотя масштабы кампании и усилия по распространению вредоноса свидетельствуют о том, что ее оператор или операторы имели скорее практические цели.
