Utilizan el RAT XWorm para explotar a los Script Kiddies

Iniciado por AXCESS, Enero 24, 2025, 05:16:43 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Enero 24, 2025, 05:16:43 PM
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

CloudSEK ha descubierto una nueva campaña que involucra una versión troyanizada del generador de RAT XWorm. El malware se propagó a través de varios canales, incluidos los servicios de intercambio de archivos (como Mega y No tienes permitido ver enlaces. Registrate o Entra a tu cuenta), repositorios de Github (como LifelsHex/FastCryptor y FullPenetrationTesting/888-RAT), canales de Telegram (incluidos HAX_CRYPT y heritageedeu) e incluso YouTube y otros sitios web.

Esta campaña resultó en la vulneración de más de 18.459 dispositivos en todo el mundo. Los datos robados incluían información confidencial como credenciales del navegador, tokens de Discord, datos de Telegram e información del sistema de los dispositivos vulnerados.

"Este generador proporciona a los atacantes una herramienta optimizada para implementar y operar un RAT de gran capacidad, que cuenta con funciones avanzadas como reconocimiento del sistema, exfiltración de datos y ejecución de comandos", reveló la publicación del blog de CloudSEK escrita por el investigador de inteligencia de amenazas de la empresa, Vikas Kundu.

Los actores de amenazas distribuyeron específicamente un generador de RAT XWorm modificado para atacar a atacantes inexpertos (también conocidos como Script Kiddies). Una vez instalado, el malware extrajo datos confidenciales como credenciales del navegador, tokens de Discord, datos de Telegram e información del sistema del dispositivo de la víctima. También contaba con funciones avanzadas como comprobaciones de virtualización, la capacidad de modificar el registro y amplias capacidades de comando y control.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Además, este malware depende de Telegram para su función de comando y control. Utilizaba tokens de bots y llamadas a la API de Telegram para recibir comandos del atacante y extraer datos robados.

Los investigadores pudieron identificar y aprovechar una función de "interruptor de seguridad" dentro del malware. Esta función se utilizó para interrumpir las operaciones en dispositivos activos infectados con el malware. Sin embargo, este enfoque tenía limitaciones. Las máquinas sin conexión y los mecanismos de limitación de velocidad de Telegram impidieron la interrupción completa.

Con base en la investigación, los investigadores pudieron vincular al actor de la amenaza con los alias "@shinyenigma" y "@milleniumrat". Además, pudieron identificar cuentas de GitHub asociadas y una dirección de ProtonMail.

Cabe señalar que XWorm se ha convertido en una amenaza persistente, y el Servicio Estatal de Protección de la Información y las Comunicaciones Especiales (SSSCIP) de Ucrania informó de su uso en operaciones cibernéticas rusas contra Ucrania en la primera mitad de 2024.

Para protegerse contra estas amenazas, las organizaciones y las personas deben utilizar soluciones de detección y respuesta de puntos finales (EDR) para detectar actividad sospechosa en la red e incluso la identificación de malware.

Además, la monitorización de la red mediante sistemas de detección y prevención de intrusiones (IDPS) puede bloquear la comunicación entre los dispositivos infectados y el servidor C&C malicioso en Telegram. Las medidas proactivas, como bloquear el acceso a URL maliciosas conocidas y aplicar la lista blanca de aplicaciones, pueden evitar que se descargue y ejecute malware.

Fuente:
HackRead
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario