Wiele młodych osób wchodzących w świat cybersecurity, które chcą się nauczyć tzw. hakowania, szuka gotowych narzędzi, które ułatwią im pracę i skrócą czas przygotowania ataku czy skryptu. Takie zachowania, czy też ludzi zachowujących się w podobny sposób nazywa się tzw. „script kiddies”.
Okazuje się, że takie osoby, są również narażone na ataki. Pobierając narzędzia, generujące według opisu na stronie np. malware, sami infekują swoje maszyny, bo w rzeczywistości pobrane pliki same w sobie są zagrożeniem. Oprogramowanie do tworzenia złośliwego oprogramowania, pozwalało na tworzenie i wdrażanie trojanów, które oferują na przykład filtracje danych czy wykonywanie poleceń zdalnych. To konkretne złośliwe oprogramowanie było dystrybuowane między głównie za pomocą GitHuba, ale również poprzez kanały telegramowe, fora, usługi udostępniania plików czy nawet YouTube. Z raportu opracowanego przez CloudSEK, wynika, że zainfekowanych jest ponad 18 459 urządzeń. Złośliwe oprogramowanie wykradało poświadczenia z przeglądarek, tokeny Discorda, dane z aplikacji Telegram i informacje systemowe. Najwięcej ofiar jest w krajach Rosja, USA, Indie, Ukraina i Turcja.
Odkryty malware, wykorzystuje aplikację Telegram jako infrastrukturę Command and Control – C&C. Analiza pokazała, że do tej pory oprogramowanie przesłało ponad jeden 1GB danych uwierzytelniających z przeglądarki z wielu urządzeń.
Twórcy tego malware’u zadbali również o to, aby oprogramowanie potrafiło rozpoznawać, czy jest uruchamiane w środowisku wirtualnym. Odbywa się to poprzez odczytanie kluczy w rejestrze świadczących o wirtualizacji. Jeśli jest uruchamiany w środowisku wirtualnym to nie rozprzestrzenia dalej infekcji.
Xworm modyfikuje również różne wpisy w rejestrze. Po wywoływaniu określonych poleceń z serwera C&C złośliwe oprogramowanie dodaje wpisy do rejestru Windows modyfikujące autostart. Taki zabieg pozwala na automatyczne uruchamianie po każdym restarcie systemu zapewniając atakującym stały dostęp do komputera. Do wysyłania komend służy aplikacja Telegram.
Na początku złośliwe oprogramowanie wysyła żądanie do urządzenia w celu sprawdzenia szczegółów lokalizacji. Następnie zbierane są hasła z przeglądarek, które są wysyłane do atakujących. Potem aplikacja przekazuje również tokeny Discorda, a w późniejszym kroku również informacje systemowe. Czasami trojan robi również zrzuty ekranu systemu.
Po przesłaniu wszelkich potrzebnych danych, oprogramowanie nie wykonuje żadnych czynności i czeka na polecenia z serwera C&C. Poleceń obsługiwanych przez trojana jest mnóstwo.
Spośród zainfekowanych urządzeń poświadczenia przeglądarki zostały skradzione tylko z 2068 urządzeń.
Jak podają badacze pozostałe dane jakie zostały wykradzione to:
- 4991 plików .jpg: Zrzuty ekranu
- 2222 plików .zip: Dane przeglądarki zrzucane domyślnie po infekcji
- 20 .exe: Niestandardowe pliki wykonywalne upuszczone na zainfekowane urządzenia przez atakujących
- 8 .txt: Pliki keyloggera uzyskane po uruchomieniu
Rozmiarowo wygląda to tak:
- 1112,21 MB (około 1 GB) danych uwierzytelniających przeglądarki
- 425,784 MB plików .jpg, które są zrzutami ekranu zainfekowanych urządzeń.
Wszystkie zainfekowane maszyny działały jako botnet, nasłuchując poleceń od atakujących. Badacze postanowili zakłócić jego działanie. Okazało się, że malware miał też funkcję usunięcia z zainfekowanego urządzenia odpowiednią komendą. Aby ona zadziałała potrzebny był identyfikator maszyny, dostęp do bota tak aby wysłać odpowiednią komendę, a docelowa maszyna powinna być online z włączoną funkcją nasłuchiwania poleceń. Niestety nie wszystkie maszyny w trakcie wykonywania tej komendy były dostępne online a dodatkowo konto Telegramowe było tymczasowo blokowane.
Badacze podają również kilka sposobów na radzenie sobie z takimi zagrożeniami. Aby wykrywać i reagować na zagrożenia należy wdrożyć rozwiązanie EDR tak aby być w stanie wykryć i ograniczyć aktywności poprzez monitorowanie typowych zachowań, na przykład modyfikacji rejestru czy dostęp do danych przeglądarki. Warto również monitorować sieć pod kątem komunikacji ze złośliwymi serwerami C&C.
Badacze zwracają również uwagę na potrzebę szkolenia pracowników z cyberbezpieczeństwa. Edukacja ich w zakresie rozpoznawania phishingu czy złośliwych pobrań zminimalizuje ryzyko infekcji.
Warto aktualizować oprogramowanie regularnie, szczególnie aplikacje mające dostęp do Internetu a dodatkowo zablokować na poziomie sieci dostęp do złośliwych repozytoriów Github czy do linków IoC podanych w artykule źródłowym.
Pełna analiza CloudCEK znajduje się pod tym linkiem: No Honour Among Thieves: Uncovering a Trojanized XWorm RAT Builder Propagated by Threat Actors and Disrupting Its Operations
