B
Block user
زائر
تم تلغيم نسخة XWorm RAT تحتوي على باب خلفي (backdoor)،
واستهداف أطفال السكربتات (script kiddies) بشكل خاص،
مما يُظهر أنه لا يوجد شرف بين اللصوص.
أفاد باحثو الأمن في CloudSEK أن البرنامج الضار أصاب 18,459 جهازًا على مستوى العالم،
معظمها في روسيا، الولايات المتحدة، الهند، أوكرانيا، وتركيا.
وجدت CloudSEK أن البرنامج الضار يتضمن مفتاح إيقاف (kill switch) تم تنشيطه لإلغاء تثبيت البرنامج الضار من العديد من الأجهزة المصابة، ولكن بسبب القيود العملية لا يزال بعضها معرضًا للخطر.
المصدر: CloudSEK
اكتشف الباحثون مؤخرًا برنامج XWorm RAT الملغم يتم توزيعه من خلال قنوات مختلفة، بما في ذلك مستودعات GitHub، منصات مشاركة الملفات، قنوات Telegram، مقاطع فيديو على YouTube، ومواقع ويب. تم ترويج هذا المنشئ على أنه يمكن استخدامه من قبل الهاكرز الآخرين دون دفع تكاليف.
ولكن بدلاً من أن يكون منشئًا فعليًا لـ XWorm RAT، قام بتثبيت البرنامج الضار على أجهزة الهاكرز الآخرين.
عند إصابة الجهاز، يقوم XWorm بفحص سجل النظام (Windows Registry) للتحقق مما إذا كان يعمل في بيئة افتراضية (virtualized environment)
ويتوقف إذا كانت النتيجة إيجابية !!!
إذا كان الجهاز مؤهلًا للإصابة،
تقوم البرمجيات الضارة بإجراء تعديلات على سجل النظام لضمان البقاء بين عمليات إعادة التشغيل.
كل نظام مصاب يتم تسجيله في خادم الأوامر والسيطرة (C2) المعتمد على Telegram باستخدام معرف بوت (bot ID) وتوكن مشفر.
تقوم البرمجيات الضارة أيضًا بسرقة توكنات Discord، معلومات النظام، وبيانات الموقع (من عنوان IP)، وترسلها إلى خادم C2. ثم تنتظر الأوامر من المشغلين.
من بين 56 أمرًا مدعومًا، الأوامر التالية خطيرة بشكل خاص:
Rich (BB code):
- /machine_id*browsers - سرقة كلمات المرور المحفوظة، ملفات تعريف الارتباط، وبيانات الملء التلقائي من المتصفحات.
- /machine_id*keylogger - تسجيل كل ما يكتبه الضحية على جهاز الكمبيوتر.
- /machine_id*desktop - التقاط الشاشة النشطة للضحية.
- /machine_id*encrypt*<password> - تشفير جميع الملفات على النظام باستخدام كلمة مرور .
- /machine_id*processkill*<process> - إنهاء العمليات الجارية المحددة، بما في ذلك برامج الأمان.
- /machine_id*upload*<file> - استخراج ملفات محددة من النظام المصاب.
- /machine_id*uninstall - إزالة البرمجيات الضارة من الجهاز.وجدت CloudSEK أن مشغلي البرمجيات الضارة قاموا باستخراج البيانات من حوالي 11% من الأجهزة المصابة، مع التركيز على سرقة لقطات الشاشة وبيانات المتصفح.
تعطيل البرمجيات الضارة باستخدام مفتاح القتل ( kill switch):
قام باحثو CloudSEK بتعطيل الشبكة عن طريق استخدام توكنات API الصلبة ومفتاح ايقاف ( kill switch) مدمج لإزالة البرمجيات الضارة من الأجهزة المصابة. للقيام بذلك، أرسلوا أمر إزالة جماعي إلى جميع العملاء المتصلين، مع المرور عبر جميع معرفات الأجهزة المعروفة التي استخرجوها من سجلات Telegram. كما قاموا بتخمين معرفات الأجهزة من 1 إلى 9999، بافتراض نمط رقمي بسيط.
مهاجمة الهاكرز لبعضهم البعض هو سيناريو شائع نراه يتجلى في العالم الواقعي.
الخلاصة من نتائج CloudSEK هي عدم الثقة في البرامج غير الموقعة، خاصة تلك التي يتم توزيعها من قبل مجرمين إلكترونيين آخرين، وتنصيب البرمجيات الضارة فقط في بيئات الاختبار والتحليل
المصدر
https://www.bleepingcomputer.com/ne...000-script-kiddies-with-fake-malware-builder/
https://www.cloudsek.com/blog/no-ho...y-threat-actors-and-disrupting-its-operations
التعديل الأخير بواسطة المشرف:
