Tysiące hakerów zainfekowało swoje komputery. Instalowali kompilator złośliwego oprogramowania

W świecie cyberprzestępczości często powtarza się stare powiedzenie: „złodziej okradł złodzieja”.  Osoba lub grupa cyberprzestępców rozesłała trojana, który podszywając się pod narzędzie do tworzenia złośliwego oprogramowania, zainfekował tysiące urządzeń na całym świecie.

Według raportu firmy CloudSEK, atak dotknął co najmniej 18 tysięcy urządzeń, z czego większość pochodzi z Federacji Rosyjskiej, USA, Indii, Ukrainy i Turcji. Osoba odpowiedzialna za ten atak wymierzyła go w nisko wykwalifikowanych hakerów, tzw. „script kiddies” – użytkowników, którzy korzystają z gotowych narzędzi hakerskich bez większej wiedzy na temat ich działania. Tym razem zamiast skutecznych narzędzi do włamań, pobrali oni zainfekowaną wersję kompilatora złośliwego oprogramowania, XWorm RAT, umożliwiającego zdalny dostęp do systemów.

Hackerzy atakują się nawzajem. Nie ma tu miejsca na jakąkolwiek solidarność. Jeśli istnieje możliwość kradzieży czegoś, zostanie ona wykorzystana.

Ofiary najwyraźniej nie posiadały żadnej wiedzy o cyberbezpieczeństwie i pobierały oprogramowanie reklamowane jako darmowe narzędzie do tworzenia programów RAT. Atakujący skorzystał z ich naiwności, rozprzestrzeniając trojana na różnych platformach, w tym w repozytoriach GitHub, na kanałach Telegramu oraz poprzez filmy instruktażowe na YouTube.

Jak działał kompilator z trojanem?

Po pobraniu i uruchomieniu fałszywego kompilatora, złośliwe oprogramowanie natychmiast analizowało system użytkownika w poszukiwaniu oznak wirtualizacji lub środowiska debugowania. Jeśli wykryło takie mechanizmy, po prostu przestawało działać, unikając w ten sposób analizy przez specjalistów ds. cyberbezpieczeństwa.

Jeśli jednak system nie wykazywał takich oznak, trojan wprowadzał zmiany w rejestrze systemu, aby uruchamiać się ponownie po każdym restarcie komputera. Następnie rejestrował zainfekowany komputer na serwerze dowodzenia i kontroli (C2) działającym na platformie Telegram, wykorzystując do tego unikalny identyfikator i token bota Telegramu.

Po nawiązaniu połączenia z serwerem C2 XWorm RAT kradł szeroki zakres informacji:

• Tokeny Discorda

• Szczegółowe dane systemowe

• Lokalizację użytkownika na podstawie adresu IP

• Hasła, pliki cookie oraz dane autouzupełniania z przeglądarki internetowej

• Naciśnięcia klawiszy (keylogging)

• Zrzuty ekranu

• Listę uruchomionych procesów, w tym oprogramowania zabezpieczającego

• Określone typy plików, które mogły zostać usunięte lub zaszyfrowane

Najbardziej niepokojącą funkcją była możliwość zaszyfrowania dowolnych plików na komputerze użytkownika przy użyciu hasła przesłanego z serwera C2. Oznaczało to, że atakujący mógł zmusić ofiary do zapłacenia okupu w zamian za odzyskanie dostępu do własnych plików.

Neutralizacja botnetu – cios dla atakujących

Specjaliści CloudSEK odkryli, że operatorzy złośliwego oprogramowania usunęli dane z około 11% zainfekowanych urządzeń, co sugeruje próbę zacierania śladów. Jednak dzięki błędom w kodzie malware’u badacze byli w stanie częściowo zneutralizować botnet. Stałe tokeny API zaszyte w kodzie pozwoliły im na masowe wysłanie polecenia samozniszczenia do wszystkich aktywnych w danym momencie maszyn podłączonych do sieci.

Badacze podjęli również próbę dezaktywacji botnetu metodą brute-force, generując identyfikatory w zakresie od 1 do 9999. Dzięki temu udało się zneutralizować część zainfekowanych systemów. Niestety, skuteczność tej metody była ograniczona – nie wszystkie maszyny były online w chwili wysyłania polecenia, a systemy bezpieczeństwa Telegramu ograniczały masowe wysyłki wiadomości.