近期,网络安全研究人员发现了一种木马化的XWorm RAT(远程访问木马)构建器,该恶意软件通过GitHub存储库、文件共享服务、Telegram频道等多种渠道广泛传播,专门针对网络安全新手(俗称“脚本小子”)。这些新手通常通过教程下载和使用各种黑客工具,却在不经意间成为了高级黑客的攻击目标。截至目前,该恶意软件已感染了全球超过18,459台设备,主要分布在俄罗斯、美国、印度、乌克兰和土耳其等国家。
XWorm RAT具备强大的功能,能够窃取浏览器凭据、Discord令牌、Telegram数据以及系统信息,并通过Telegram作为命令和控制(C&C)服务器进行远程操控。恶意软件通过硬编码的Telegram机器人ID和令牌与C&C服务器通信,执行包括截屏、窃取文件、加密数据、甚至控制设备电源等在内的56种命令。此外,XWorm RAT还具备虚拟化检查功能,能够检测自身是否在虚拟环境中运行,以避免被安全研究人员分析。
研究人员还发现,该恶意软件内置了“终止开关”功能,攻击者可以通过发送特定的卸载命令来清除受感染设备上的恶意软件。利用这一功能,研究人员成功破坏了部分僵尸网络,但由于Telegram的速率限制和部分设备离线,彻底清除所有感染设备仍面临挑战。
此次攻击的幕后黑手被归因于使用“@shinyenigma”和“@milleniumrat”等别名的威胁行为者,其GitHub账户和ProtonMail地址也被曝光。攻击者通过上传恶意RAT构建器,诱使新手黑客下载并使用,进而控制他们的设备并窃取数据。
此次事件再次警示网络安全新手,盲目下载和使用未经验证的工具可能导致严重后果。同时,企业和个人用户应加强终端防护,部署先进的EDR解决方案,监控异常行为,并及时更新威胁情报,以防止类似攻击的发生。
详情参见CloudSEK公司1月24日发布的分析报告。
参考资源
1、https://www.cloudsek.com/blog/no-honour-among-thieves-uncovering-a-trojanized-xworm-rat-builder-propagated-by-threat-actors-and-disrupting-its-operations#Features
