Удар по самолюбию: «троянский конь» заразил компьютеры начинающих хакеров

Более 18 000 компьютеров заражены троянизированной версией билдера XWorm RAT из-за фишинговой атаки, нацеленной на начинающих хакеров. Эксперт компании «Газинформсервис» Никита Титаренко подчёркивает, что в деле кибербезопасности нет неприкасаемых, призывая к использованию продвинутых систем аналитики, таких как Ankey ASAP.

Злоумышленники распространяли заражённый билдер XWorm RAT под видом обучающего инструмента через GitHub, файлообменники и Telegram. Согласно отчёту CloudSEK, основной удар пришёлся на Россию, США, Индию, Украину и Турцию. Вредоносное ПО, действуя как «троянский конь», предоставляет полный контроль над заражённой системой, включая кражу паролей, запись нажатий клавиш и шифрование данных. Вредоносную программу сложно обнаружить, и, несмотря на функцию удаления, тысячи машин остаются под угрозой.

«Инцидент показывает, что жертвой кибератаки может стать даже сам хакер. Вредонос XWorm, который использовали злоумышленники, довольно трудно отследить из-за некоторых особенностей. Троян удалённого доступа, используемый злоумышленниками, мог анализировать, в какой среде он работает, и завершал свою работу, определив, что он находится в виртуальной среде или в песочнице. Связь с центром управления (С2-сервером) осуществляется через зашифрованные каналы, что усложняет обнаружение подозрительного трафика. Для обнаружения работы "скрытых" вредоносных программ следует использовать платформы расширенной аналитики с модулем UEBA, позволяющим отслеживать поведение каждой сущности на устройстве пользователя и мониторить подозрительные "отклонения" в поведении, предотвращая при этом угрозы информационной безопасности», — отметил Никита Титаренко, инженер-аналитик компании «Газинформсервис».