Троянская ловушка: как XWorm RAT скомпрометировал 18 тысяч устройств

В киберпространстве разворачивается скандал вокруг троянской версии сборщика XWorm RAT, которую злоумышленники активно распространяют через GitHub, Telegram и файлообменники.

Данная вредоносная программа была нацелена на начинающих специалистов в области кибербезопасности, которые, следуя инструкциям из различных онлайн-руководств, скачивали и использовали её, не подозревая о скрытой угрозе. На сегодняшний день эта вредоносная программа уже скомпрометировала более 18 000 устройств по всему миру.

XWorm RAT способен похищать конфиденциальную информацию, включая данные браузеров, токены Discord, данные Telegram и системные характеристики заражённых устройств. Одной из наиболее опасных функций этого вредоносного ПО является использование Telegram в качестве инфраструктуры для управления.

Злоумышленники отправляют команды через ботов и используют API Telegram для получения похищенных данных. Кроме того, программа обладает возможностями обхода виртуальных сред, изменяет реестр Windows для обеспечения автозапуска и предоставляет полный контроль над заражёнными системами.

Наибольшее количество заражений зафиксировано в России, США, Индии, Украине и Турции. Анализ выявил, что из более чем 18 000 заражённых устройств похищено свыше 1 ГБ данных браузеров. Помимо этого, программа делает снимки экрана устройств, похищает данные Telegram и даже загружает дополнительные исполняемые файлы на устройства жертв.

Исследователям удалось обнаружить так называемый «аварийный выключатель» в коде XWorm RAT, который позволил инициировать команду на удаление программы с активных устройств. Этот подход позволил частично нейтрализовать угрозу, но многие устройства остались заражёнными из-за их офлайн-статуса или ограничения скорости отправки команд через Telegram.

В ходе расследования были идентифицированы ключевые участники операции: злоумышленники использовали Telegram-аккаунты с псевдонимами «@shinyenigma» и «@milleniumrat», а также связанные GitHub-репозитории и почту ProtonMail. Благодаря этим данным киберисследователи передали информацию платформам для блокировки зловредных аккаунтов и контента.

Для защиты от подобных угроз рекомендуется использовать комплексные решения по обнаружению и реагированию на инциденты, ограничивать доступ к известным вредоносным ресурсам, регулярно обновлять системы безопасности и обучать сотрудников правилам безопасного поведения в интернете.