هکرها از XWorm RAT برای بهره برداری از اسکریپت Kiddies، Pwning 18000 دستگاه استفاده می کنند.

کلاهبرداران کلاهبرداران – هکرها با استفاده از XWorm RAT از بچه های اسکریپت سوء استفاده می کنند، بیش از 18000 دستگاه را در سراسر جهان به خطر می اندازند و داده های حساس را از طریق C&C مبتنی بر تلگرام می دزدند.

CloudSEK کمپین جدیدی را کشف کرده است که شامل یک نسخه تروجانیزه شده از سازنده XWorm RAT است . این بدافزار از طریق کانال‌های مختلف، از جمله سرویس‌های اشتراک‌گذاری فایل (مانند Mega و Upload.ee)، مخازن Github (مانند LifelsHex/FastCryptor و FullPenetrationTesting/888-RAT)، کانال‌های تلگرام (از جمله HAX_CRYPT و inheritedeu)، و حتی یوتیوب و وب سایت های دیگر

این کمپین منجر به به خطر انداختن بیش از 18459 دستگاه در سراسر جهان شد. داده‌های به سرقت رفته شامل اطلاعات حساسی مانند اعتبار مرورگر، توکن‌های Discord، داده‌های تلگرام و اطلاعات سیستم از دستگاه‌های در معرض خطر بود.

در پست وبلاگ CloudSEK که توسط محقق اطلاعات تهدید شرکت، Vikas Kundu، نوشته شده است ، این سازنده ابزاری کارآمد برای استقرار و اجرای یک RAT بسیار توانمند در اختیار مهاجمان قرار می دهد که دارای قابلیت های پیشرفته ای مانند شناسایی سیستم، استخراج داده ها و اجرای فرمان است.

بازیگران تهدید به طور خاص یک سازنده XWorm RAT اصلاح شده را برای هدف قرار دادن مهاجمان بی تجربه (معروف به Script Kiddies ) توزیع کردند. پس از نصب، بدافزار داده‌های حساسی مانند اعتبار مرورگر، توکن‌های Discord، داده‌های تلگرام و اطلاعات سیستم را از دستگاه قربانی استخراج می‌کند. همچنین دارای ویژگی‌های پیشرفته‌ای مانند بررسی مجازی‌سازی، امکان اصلاح رجیستری و قابلیت‌های فرمان و کنترل گسترده است.

علاوه بر این، این بدافزار برای عملکرد فرمان و کنترل خود به تلگرام متکی است. از توکن‌های ربات و تماس‌های API تلگرام برای دریافت دستورات مهاجم و استخراج داده‌های دزدیده شده استفاده می‌کرد.

محققان توانستند یک عملکرد “سوئیچ کشتن” را در این بدافزار شناسایی و از آن استفاده کنند. این عملکرد برای ایجاد اختلال در عملکرد دستگاه‌های فعال آلوده به بدافزار مورد استفاده قرار گرفت. با این حال، این رویکرد محدودیت هایی داشت. ماشین‌های آفلاین و مکانیسم‌های محدودکننده نرخ تلگرام از اختلال کامل جلوگیری کردند.

بر اساس تحقیقات، محققان توانستند عامل تهدید را به نام مستعار “@shinyenigma” و “@milleniumrat” مرتبط کنند. علاوه بر این، آنها توانستند حساب های مرتبط GitHub و یک آدرس ProtonMail را شناسایی کنند.

شایان ذکر است که XWorm با گزارش سرویس دولتی ارتباطات ویژه و حفاظت اطلاعات اوکراین (SSSCIP) که استفاده از آن را در عملیات سایبری روسیه علیه اوکراین در نیمه اول سال 2024 گزارش کرده است، به یک تهدید دائمی تبدیل شده است.

برای محافظت در برابر چنین تهدیداتی، سازمان ها و افراد باید از راه حل های Endpoint Detection and Response (EDR) برای شناسایی فعالیت های مشکوک شبکه و حتی شناسایی بدافزار استفاده کنند.

علاوه بر این، نظارت بر شبکه با استفاده از سیستم‌های تشخیص نفوذ و پیشگیری (IDPS) می‌تواند ارتباط بین دستگاه‌های آلوده و سرور C&C مخرب در تلگرام را مسدود کند. اقدامات پیشگیرانه مانند مسدود کردن دسترسی به URL های مخرب شناخته شده و اعمال لیست سفید برنامه می تواند از دانلود و اجرای بدافزار جلوگیری کند.

منبع :

https://hackread.com/hackers-script-kiddes-xworm-rat-compromise-devices/