Un acteur de la menace ciblait des pirates informatiques peu qualifiés, connus sous le nom de « script kiddies », avec un faux générateur de logiciels malveillants qui les infectait secrètement avec une porte dérobée pour voler des données et s’emparer d’ordinateurs.

Les chercheurs en sécurité de CloudSEK rapportent que le malware a infecté 18 459 appareils dans le monde, la plupart situés en Russie, aux États-Unis, en Inde, en Ukraine et en Turquie.

«  »Une version cheval de Troie du constructeur de RAT de ver a été militarisée et propagée », lit-on dans le rapport CloudSEK.

« Il est spécialement destiné aux script kiddies qui découvrent la cybersécurité et téléchargent et utilisent directement les outils mentionnés dans divers tutoriels, montrant ainsi qu’il n’y a pas d’honneur parmi les voleurs. »

CloudSEK a découvert que le logiciel malveillant comprenait un coupe-circuit activé pour désinstaller le logiciel malveillant de nombreuses machines infectées, mais en raison de limitations pratiques, certains restent compromis.

Emplacement des appareils infectés

Un faux constructeur de RATS installe des logiciels malveillants
Les chercheurs affirment avoir récemment découvert un générateur de RATS XWorm Trojan distribué via divers canaux, notamment des référentiels GitHub, des plates-formes d’hébergement de fichiers, des chaînes Telegram, des vidéos YouTube et des sites Web.

Ces sources ont fait la promotion du constructeur de RATS, déclarant qu’il permettrait à d’autres acteurs de la menace d’utiliser le logiciel malveillant sans avoir à le payer.

Cependant, au lieu d’être un véritable constructeur pour le RAT XWorm, il a infecté les appareils de l’auteur de la menace avec le logiciel malveillant.

Une fois qu’une machine est infectée, le logiciel malveillant XWorm recherche dans le Registre Windows des signes indiquant qu’elle s’exécute dans un environnement virtualisé et s’arrête si les résultats sont positifs.

Si l’hôte est qualifié pour l’infection, le logiciel malveillant effectue les modifications de registre requises pour garantir la persistance entre les démarrages du système.

Chaque système infecté est enregistré sur un serveur de commande et de contrôle (C2) basé sur Telegram à l’aide d’un identifiant et d’un jeton de bot Telegram codés en dur.

Le logiciel malveillant vole également automatiquement les jetons Discord, les informations système et les données de localisation (à partir de l’adresse IP), et les exfiltrent vers le serveur C2. Ensuite, il attend les commandes des opérateurs.

Sur les 56 commandes prises en charge au total, les suivantes sont particulièrement dangereuses:

  • / machine_id*navigateurs-Voler les mots de passe enregistrés, les cookies et les données de remplissage automatique des navigateurs Web
  • / machine_id * enregistreur de frappe-Enregistrez tout ce que la victime tape sur son ordinateur
  • / machine_id*desktop-Capture l’écran actif de la victime
  • / machine_id * encrypt* < password > – Chiffre tous les fichiers du système à l’aide d’un mot de passe fourni
  • // machine_idtuer le processus < processus > – Termine des processus en cours d’exécution spécifiques, y compris les logiciels de sécurité
  • / machine_id * upload – Exfiltrer des fichiers spécifiques du système infecté / machine_iddésinstaller-Supprime le logiciel malveillant de l’appareil

CloudSEK a constaté que les opérateurs de logiciels malveillants avaient exfiltré les données d’environ 11% des appareils infectés, prenant principalement des captures d’écran des appareils infectés, comme indiqué ci-dessous, et volant les données du navigateur.

Capture d’écran du bureau d’un pirate informatique

Perturber avec le coupe-circuit
Les chercheurs du Cloud ont perturbé le botnet en utilisant des jetons API codés en dur et un kill switch intégré pour désinstaller le malware des appareils infectés.

Pour ce faire, ils ont envoyé une commande de désinstallation en masse à tous les clients à l’écoute, parcourant en boucle tous les identifiants de machine connus qu’ils avaient précédemment extraits des journaux Telegram. Ils ont également des identifiants de machine à force brute de 1 à 9999, en supposant un modèle numérique simple.

Envoi de la commande de désinstallation

Bien que cela ait entraîné la suppression du logiciel malveillant de nombreuses machines infectées, celles qui n’étaient pas en ligne au moment de l’émission de la commande restent compromises.

De plus, Telegram soumet les messages à une limitation de débit, de sorte que certaines des commandes de désinstallation peuvent avoir été perdues en transit.

Les pirates informatiques le piratage informatique est un scénario courant que nous voyons souvent se manifester dans la nature.

La conclusion à retenir des conclusions de CloudSEK est de ne jamais faire confiance aux logiciels non signés, en particulier ceux distribués par d’autres cybercriminels, et d’installer uniquement des générateurs de logiciels malveillants sur des environnements de test/analyse.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *