XWorm RAT

Зловреден софтуер XWorm е идентифициран като заплаха от категорията троянски кон за отдалечен достъп (RAT). RATs са специално проектирани да позволяват неоторизиран достъп и контрол на компютъра на жертвата от киберпрестъпници. С използването на RAT атакуващите могат отдалечено да наблюдават и наблюдават потребителските дейности, да крадат чувствителни данни и да изпълняват широк набор от злонамерени операции върху компрометираната система, в зависимост от техните специфични цели. Според изследователите, XWorm RAT се предлага за продажба от своите разработчици на цена от $400.

XWorm RAT може да открадне широка гама от чувствителна информация

XWorm RAT притежава широк набор от възможности, които го правят изключително сложна и опасна заплаха в ръцете на киберпрестъпниците. Една от основните му функционалности е способността да открадне незабелязано ценна системна информация от компютъра на жертвата. RAT може да открадне чувствителни данни от популярни браузъри. XWorm може да извлича пароли, бисквитки, данни за кредитни карти, отметки, изтегляния, ключови думи и история на сърфиране от браузъри Chromium. По същия начин може да открадне пароли, бисквитки, отметки и история от браузърите на Firefox, което значително компрометира сигурността на онлайн дейностите на жертвата.

Освен това, възможностите на XWorm обхващат насочване към различни приложения и услуги. Може да открадне данни за сесии на Telegram, токени на Discord, пароли за WiFi, данни от Metamask и FileZilla. Освен това XWorm може да осъществява достъп до редактора на системния регистър, да регистрира натискания на клавиши, да стартира ransomware за криптиране на файлове и да изисква откуп и да манипулира данни, услуги и процеси в клипборда.

Освен кражба на информация, XWorm има способността да изпълнява файлове, давайки на атакуващите правомощията да стартират различни злонамерени програми и полезни товари на компрометираната система. Освен това троянският кон може да получи неоторизиран достъп до уеб камерата и микрофона на жертвата, което представлява значително нахлуване в поверителността и позволява на нападателите да наблюдават дейностите на жертвата. Обхватът на XWorm се простира още повече, тъй като може да отваря URL адреси, да изпълнява команди на обвивката и да управлява файлове, като ефективно дава на атакуващите пълен контрол над компютъра на жертвата.

Нападателите могат дори да използват XWorm, за да активират или деактивират критични системни компоненти и функции като контрол на потребителските акаунти (UAC), редактор на регистъра, диспечера на задачите, защитна стена и системни актуализации. Възможността за извикване на Синия екран на смъртта (BSoD) добавя още едно ниво на смущения и потенциални щети върху системата на жертвата.

XWorm RAT може да се използва за доставяне на Ransomware полезни товари на пробитите устройства

Една важна способност на XWorm е способността му да извършва атаки с рансъмуер. Рансъмуерът заплашва софтуер, който криптира файлове, което ги прави недостъпни без конкретен ключ за дешифриране. Впоследствие операторите на XWorm могат да поискат плащане от жертвата в замяна на предоставяне на необходимия софтуер за дешифриране, за да си възвърнат достъпа до криптираните файлове.

Освен това е наблюдавано, че XWorm се използва от киберпрестъпници за кражба на клипборда. Тази техника включва наблюдение на злонамерен софтуер и прихващане на данни, копирани в клипборда на жертвата, със специфичен фокус върху подмяната на адресите на портфейла на криптовалута. Например, ако жертва копира адрес на портфейл за Bitcoin, Ethereum или друга криптовалута, XWorm открива данните и ги заменя с адрес на портфейл, притежаван от киберпрестъпниците. Следователно жертвите несъзнателно изпращат средствата си в портфейла на хакерите вместо на адреса на предвидения получател.

Широката гама от злонамерени възможности, наблюдавани в XWorm RAT, включва и функционалност за записване на клавиатури. Keylogging включва вредния процес на тайно улавяне и запис на всички въвеждания от клавиатурата, направени от потребител на заразена система. Това означава, че паролите, идентификационните данни за влизане, чувствителните съобщения и друга лична информация се записват тайно и се предават на командния и контролен сървър на атакуващия.