Un recente rapporto CloudSEK ha rivelato una versione trojanizzata del builder XWorm RAT (Remote Access Trojan), diffusa da attori malevoli e utilizzato per compromettere oltre 18.000 dispositivi in tutto il mondo, attirando principalmente i novelli hacker, noti come script kiddies, che hanno scaricato e utilizzato tale strumento menzionato in vari tutorial online.
Fonte: CloudSEK.
Vale la pena notare la minaccia persistente del RAT anche in Italia. Il CERT-AgID ha, infatti, segnalato l’uso di XWorm RAT in campagne malspam che hanno coinvolto inconsapevolmente il brand Namirial su presunti ‘pagamenti’.
Indice degli argomenti
Variante trojanizzata di XWorm RAT: i dettagli
Questi attori malevoli hanno modificato il builder legittimo di XWorm RAT per includere codice che, una volta eseguito, compromette i dispositivi di chi lo scarica, mettendone a rischio la sicurezza e la privacy.
Il malware ruba dati sensibili come credenziali del browser, token di Discord e informazioni di sistema. Inoltre, verifica di non interagire con un ambiente virtuale e in caso non diffonde ulteriormente l’infezione e aggiunge voci al registro di Windows per garantire la propria persistenza nel sistema colpito.
L’analisi ha rivelato che il malware avrebbe finora esfiltrato più di 1 GB di credenziali del browser e più di 400 GB di screenshot dai dispositivi infetti.
Modalità di diffusione di XWorm RAT
Il malware viene propagato attraverso vari canali, tra cui forum di hacking, gruppi di Telegram e altri siti web che offrono strumenti e risorse tra cui servizi di condivisione file (mega.nz e upload.ee), repository GitHub (FastCryptor e 888-RAT), canali Telegram (HAX_CRYPT e inheritedeu) e YouTube.
Gli attori malevoli sfruttano pertanto l’interesse degli script kiddies per diffondere il builder trojanizzato, ingannandoli e infettando i loro dispositivi.
Fonte: CloudSEK.
L’indagine ha, infine, consentito ai ricercatori di attribuire l’autore della minaccia a due account Telegram ‘@shinyenigma’ e ‘@milleniumrat’ e di associare agli stessi degli account GitHub e un indirizzo ProtonMail.
Caratteristiche distintive
Una delle caratteristiche distintive di questo malware è l’uso di Telegram come server di comando e controllo (C2). Ciò consente agli attaccanti di gestire e controllare i dispositivi compromessi in modo anonimo e sicuro e di distribuire ulteriori payload malevoli.
“Il malware usa Telegram come infrastruttura di comando e controllo (C&C), sfruttando token bot e chiamate API per inviare comandi ai dispositivi infetti ed esfiltrare dati rubati”, spiega l’analisi di Vikas Kundu. “I ricercatori hanno anche identificato la funzionalità ‘kill switch’ del malware, che è stata usata per interrompere le operazioni sui dispositivi attivi”.
Tuttavia, questo tentativo di interruzione, da parte dei ricercatori CloudSEK, è stato solo parziale, in quanto le macchine offline e i meccanismi di rate limiting di Telegram hanno impedito l’interdizione completa della botnet del malware.
Raccomandazioni di sicurezza
La scoperta di questa versione trojanizzata del builder XWorm RAT evidenzia i rischi associati all’uso di strumenti di hacking di origine dubbia.
Gli script kiddies, spesso inesperti, sono particolarmente vulnerabili a queste minacce, poiché possono essere facilmente ingannati e indotti a scaricare malware che compromette i loro sistemi.
Per proteggersi, CloudSEK raccomanda a organizzazioni e utenti di utilizzare soluzioni EDR (Endpoint Detection and Response) per rilevare attività sospette, e il monitoraggio della rete tramite IDPS (Intrusion Detection and Prevention Systems) per bloccare la comunicazione tra i dispositivi infetti e il server C2 Telegram.
Inoltre, l’impiego come buone pratiche del blocco degli IoC noti e l’applicazione di whitelist delle applicazioni può impedire l’esecuzione del RAT.
In generale, per perseguire i responsabili e rimuovere i contenuti malevoli, è fondamentale, conclude Kundu, la collaborazione con le forze dell’ordine e le piattaforme social e di file sharing.
