Аналітики компанії CloudSEK виявили, що зловмисники атакують низькокваліфікованих хакерів за допомогою фальшивого білдера малварі. Системи скрипт-кідді виявляються заражені бекдором, який використовується для крадіжки даних і подальшого захоплення комп’ютерів.

Таким атакам піддалися 18 459 пристроїв по всьому світу, більшість з яких знаходилися в Росії, США, Індії, Україні та Туреччині.

«Шкідливу версію білдера XWorm RAT перетворили на інструмент для атак і почали поширювати, — повідомляють в CloudSEK. — Вона орієнтована на скрипт-кідді, новачків у галузі кібербезпеки, які безпосередньо завантажують і використовують інструменти, згадані в різних посібниках, що зайвий раз демонструє, що серед злодіїв немає честі».

Дослідники пишуть, що шкідлива програма містить в собі «рубильник», який вже був активований для видалення малварі з багатьох заражених машин. Однак через ряд обмежень багато систем як і раніше залишаються скомпрометованими.

Заражений білдер поширювався різними способами, включаючи репозиторії на GitHub, платформи для обміну файлами, Telegram-канали, відеоролики на YouTube і різні сайти. У всіх цих джерелах білдер XWorm RAT рекламувався як безкоштовний інструмент і стверджувалося, що за це шкідливе ПЗ не потрібно платити.

Фахівці компанії спробували зруйнувати цей ботнет, використовуючи жорстко закодовані API-токен і вбудований «рубильник», призначений для видалення малварі з заражених пристроїв. Для цього вони відправили команду видалення всім клієнтам, перебравши всі відомі ID заражених машин, які витягли з логів в Telegram. Також дослідники перебрали ідентифікатори від 1 до 9999 брутфорсом, припускаючи, що зловмисники могли використовувати простий числовий шаблон.

Хоча це призвело до видалення бекдора з багатьох заражених систем, ті машини, які не були в мережі в момент відправки команди, залишилися скомпрометованими. Крім того, через обмеження Telegram при передачі повідомлень, деякі команди на видалення малварі могли загубитися при передачі.

Експерти CloudSEK резюмують, що хакери регулярно зламують інших хакерів. Тому не слід довіряти непідписаному ПЗ, особливо поширюваному кіберзлочинцями, а працювати з білдерами малварі потрібно тільки в тестових і аналітичних середовищах.