XWorm RAT

Programul malware XWorm este identificat ca o amenințare din categoria Remote Access Trojan (RAT). RAT-urile sunt concepute special pentru a permite accesul neautorizat și controlul computerului unei victime de către infractorii cibernetici. Cu ajutorul RAT-urilor, atacatorii pot monitoriza și observa de la distanță activitățile utilizatorilor, pot fura date sensibile și pot executa o gamă largă de operațiuni rău intenționate pe sistemul compromis, în funcție de obiectivele lor specifice. Potrivit cercetătorilor, XWorm RAT este oferit spre vânzare de către dezvoltatorii săi la un preț de 400 USD.

XWorm RAT poate fura o gamă largă de informații sensibile

XWorm RAT posedă o gamă largă de capabilități care îl fac o amenințare extrem de sofisticată și periculoasă în mâinile infractorilor cibernetici. Una dintre funcționalitățile sale principale este capacitatea de a fura informații valoroase de sistem din computerul victimei în mod furiș. RAT poate fura date sensibile din browsere populare. XWorm poate extrage parole, cookie-uri, detalii carduri de credit, marcaje, descărcări, cuvinte cheie și istoric de navigare din browserele Chromium. În mod similar, poate fura parole, cookie-uri, marcaje și istoric din browserele Firefox, compromițând foarte mult securitatea activităților online ale victimei.

În plus, capacitățile XWorm cuprind țintirea unei varietăți de aplicații și servicii. Poate fura datele sesiunii Telegram, jetoanele Discord, parolele WiFi, datele Metamask și FileZilla. În plus, XWorm poate accesa Editorul de registru, poate înregistra apăsările de taste, poate rula ransomware pentru a cripta fișierele și poate solicita o răscumpărare și poate manipula datele, serviciile și procesele din clipboard.

Dincolo de furtul de informații, XWorm are capacitatea de a executa fișiere, oferind atacatorilor puterea de a rula diferite programe și încărcături utile pe sistemul compromis. În plus, troianul poate obține acces neautorizat la camera web și la microfonul victimei, creând o invazie semnificativă a confidențialității și permițând atacatorilor să monitorizeze activitățile victimei. Raza de acoperire a XWorm se extinde și mai mult, deoarece poate deschide URL-uri, poate executa comenzi shell și poate gestiona fișiere, oferind atacatorilor control complet asupra computerului victimei.

Atacatorii pot folosi chiar și XWorm pentru a activa sau dezactiva componente și funcții critice ale sistemului, cum ar fi User Account Control (UAC), Editor de registru, Task Manager, Firewall și actualizări de sistem. Capacitatea de a invoca Ecranul Albastru al Morții (BSoD) adaugă un alt strat de perturbare și deteriorări potențiale sistemului victimei.

XWorm RAT ar putea fi folosit pentru a furniza încărcături utile ransomware pe dispozitivele încălcate

O capacitate semnificativă a XWorm este capacitatea sa de a efectua atacuri ransomware. Ransomware-ul amenință un software care criptează fișierele, făcându-le inaccesibile fără o cheie de decriptare specifică. Ulterior, operatorii XWorm pot cere plata victimei în schimbul furnizării software-ului de decriptare necesar pentru a recâștiga accesul la fișierele criptate.

În plus, s-a observat că XWorm este folosit de infractorii cibernetici pentru deturnarea clipboard-ului. Această tehnică implică monitorizarea programelor malware și interceptarea datelor copiate în clipboard-ul unei victime, cu un accent special pe înlocuirea adreselor portofelului cu criptomonede. De exemplu, dacă o victimă copiază o adresă de portofel Bitcoin, Ethereum sau altă adresă de criptomonedă, XWorm detectează datele și le înlocuiește cu o adresă de portofel deținută de infractorii cibernetici. În consecință, victimele își trimit, fără să vrea, fondurile în portofelul hackerilor în loc de adresa destinatarului vizat.

Gama extinsă de capabilități rău intenționate observate în XWorm RAT include și o funcționalitate de înregistrare a tastelor. Înregistrarea tastelor implică procesul dăunător de captare și înregistrare clandestină a tuturor intrărilor de la tastatură efectuate de un utilizator pe un sistem infectat. Aceasta înseamnă că parolele, acreditările de conectare, mesajele sensibile și alte informații personale sunt înregistrate sub secret și transmise serverului de comandă și control al atacatorului.