Хакерите често се атакуват едни други, за да демонстрират превъзходство
(снимка: CC0 Public Domain)
Хакери паднаха жертва на собствените си злонамерени действия. Те бяха подведени от свой колега, който разпространи троянски кон под прикритието на инструмент за създаване на зловреден софтуер. Хиляди компютри бяха заразени, без притежателите им да разберат какво се случва.
Хакер масово зарази своите „колеги” с троянизирана версия на компилатор на зловреден софтуер. Според информация на компанията за сигурност CloudSEK, най-малко 18 хиляди устройства са заразени, повечето от които се намират в САЩ, Индия, Русия, Украйна и Турция.
Експертите на компанията твърдят, че нападателят е атакувал нискоквалифицирани хакери (kulhackers), използвайки фалшив конструктор или компилатор на зловреден софтуер XWorm RAT. Това е троянски кон за отдалечен достъп.
Жертвите очевидно не са имали солидни познания по киберсигурност и просто са изтеглили каквото им поднесено, а именно – зловреден софтуер, рекламиран чрез различни мрежови ресурси.
Разпространение и функции
Троянизираният XWorm RAT се разпространява чрез хранилища на GitHub, платформи за хостване на файлове, канали на Telegram и видеоклипове в YouTube. Във всички тези ресурси троянизираният компилатор е представен като средство за създаване на RAT програми, за които не е нужно да се плаща.
Веднъж инсталиран на устройството на жертвата, софтуерът проверява системата за признаци на виртуализация или среда за отстраняване на грешки. Ако бъдат открити процеси, показващи това, програмата спира да функционира. Ако системата се окаже най-обикновена, зловредният софтуер прави промени в системния регистър, които му позволяват да се активира след всяко рестартиране.
Заразената система се регистрира и в командния сървър, базиран на платформата Telegram. За тази цел се използва фиксиран идентификатор и токен на Telegram бот.
След това злонамереният софтуер автоматично краде Discord токени и системна информация, определя физическото си местоположение по IP адрес, изпраща цялата тази информация на контролния сървър и чака допълнителни команди от оператора.
Поддържат се общо 56 команди: зловредният софтуер може да се опита да открадне пароли, бисквитки и информация за автоматично попълване на формуляри от уеб браузъра. Освен това може да прихваща натискания на клавиши, да прави екранни снимки, да спира определени процеси (включително свързани със софтуер за сигурност) и да премахва определени типове файлове от системата.
Възможна е също и опцията за самоизтриване. Най-опасна може би е възможността за криптиране на всякакви файлове с парола, изпратена от контролния сървър.
Недовършен ботнет
Експертите на CloudSEK са установили, че операторите на зловредния софтуер извличат данни от приблизително 11% от заразените устройства. Те са успели да неутрализират образувания ботнет, използвайки фиксирани API токени в кода на зловредния софтуер, което им позволява да изпратят масова циклична команда за самопремахване до всички машини, свързани към мрежата по това време, придружена от „грубо търсене” на идентификатори, извлечени от логове на Telegram.
Изследователите също са форсирали всички идентификатори от 1 до 9999, използвайки прост цифров модел. Това им позволява да неутрализират само част от ботнета, защото, първо, не всички машини са били онлайн по време на стартирането на командата, и второ, алгоритмите на Telegram ограничават масовите изпращания, така че някои съобщения може да не са пристигнали.
Хакерите активно се атакуват един друг. В случая операторът на цялата тази кампания може да е действал, наред с други неща, от желание да даде урок на „неуспелите хакери”. Но мащабът на кампанията и усилията за разпространение на зловредния софтуер показват, че операторът е имал и по-практични цели.