XWorm RAT se širi preko elektronske pošte

AUTOR · Published · Updated

Remote Access Trojan XWorm RAT se širi preko elektronske pošte i sposoban je za ransomware infekciju, krađu korisničkih podataka i pokretanje napada uskraćivanjem resursa (eng. Distributed Denial of Service – DDoS).

XWorm RAT

XWorm RAT se širi preko elektronske pošte; Dizajn: Saša Đurić

XWorm RAT

Početkom aprila, sigurnosni istraživači su primijetili porast širenja XWorm RAT zlonamjernog softvera u kibernetičkom prostoru. Ovaj zlonamjerni softver je dizajniran da infiltrira uređaje i omogući zlonamjernim napadačima neovlašteni pristup uređaju korisnika.

Jednom instaliran, XWorm RAT omogućava napadačima da pokrenu ransomvare i izvrše krađu osjetljivih podatka, kao što su korisnički podaci za prijavu, finansijske informacije ili lični dokumenti. Pored toga, ovaj zlonamjerni softver se može koristiti za instaliranje drugih vrsta zlonamjernog softvera ili čak za pokretanje napada na druge uređaje unutar mreže u kojoj se nalazi inficirani korisnik.

 

XWorm RAT prodaja

Sigurnosni istraživači su primijetili da se XWorm RAT prodaje Mračnom Internetu, gdje ga prodavac pod nazivom “EvilCoder” nudi u različitim verzija sa različitim mogućnostima u zavisnosti od cijene koju su potencijalni kupci spremni da plate. Neke od mogućnosti koje XWorm RAT posjeduje su:

 

  • Praćenja korisničke aktivnost unosa podataka (eng. Keylogger);
  • Zaobilaženje kontrole korisničkog naloga (eng. User Account Control – UAC);
  • Obrnuti Proxy;
  • Skriveni RDP i VNC;
  • Komandno okruženje;
  • Međuspremnik i menadžer datoteka;
  • Web kamera i mikrofon;
  • Napada uskraćivanjem resursa – DDoS;
  • Ransomware;
  • Isključivanje, ponovno pokretanje i odjava;
  • Podešavanje praznog ekrana;
  • Povratak lozinki;
  • Mijenjanje baze registra.

 

Dodatni problem je što je dostupna i krekovana verzija XWorm RAT zlonamjernog softvera neograničeno u kibernetičkom prostoru. To znači da treba očetkati razne modifikovane verzije uz zavisnosti od potreba zlonamjernih napadači i cilja njihovog napada.

 

Infekcija korisnika

Napad na korisnike obično započinje ciljanim pecanjem preko elektronske pošte u kojem se korisniku šalje posebno pripremljen dokument u prilogu. U dokumentu se nalazi zlonamjerna veza kao šablon koja se izvršava kada korisnik otvori dokument. Ova tehnika je poznata kako ubrizgavanje šablona (eng. template injection).

Preko veze u dokumentu dolazi do povezivanja sa serverom gdje se nalazi zlonamjerna datoteka sa Java skriptom u kojoj se nalazi zamagljen kôd koji vrši preusmjeravanje na drugu Internet lokaciju. Na novoj lokaciji nalazi se veoma napredno šifrovana PowerShell datoteka koja je drugi dio korisnog tereta virusa koji ima sljedeće mogućnosti:

 

  • Zaobilaženje Antimalware Scan Interface – AMSI za analizu  skripti;
  • Gašenje Windows defender-a;
  • Pravljenje izuzeća za procese, direktorije i ekstenzije;
  • Gašenje sistema za sprečavanje upada u računarski sistem;
  • Gašenje monitoringa u realnom vremenu;
  • Onemogućavanje skeniranja skripti i detekcije potencijalno neželjenih programa;
  • Onemogućavanje kontrole korisničkog naloga podešavanjem vrijednosti registra na 0;
  • Gašenje Windows Defender  servisa.
  • Onemogućavanje pokretanja  Windows Defender antivirusnog softvera za jedno sa operativnim sistemom;
  • Dodavanje novog korisnika na uređaj sa korisničkim imenom “123”;
  • Izmjene podešavanja mrežne barijere (eng. Firewall).

 

Pored svega toga, podaci kao to su korisničko ime, naziv uređaja, verzija operativnog sistema, verzija zlonamjernog softvera, administratorske privilegije, podaci o web kameri, snimci ekrana i podaci o instaliranom antivirusnom softveru se šalju napadaču.

 

Zaštita

Kako bi se zaštititi od ovog zlonamjernog softvera, korisnici bi trebalo da vode računa o sljedećim stvarima:

 

  • Korisnici bi uvijek trebalo da provjere adresu pošiljaoca elektronske pošte prije nego što odgovore na nju.
  • Potrebno je obratiti pažnju na gramatičke greške i stil pisanja u primljenoj elektronskoj pošti, čak i ako dolazi od poznatih pošiljalaca.
  • Biti veoma oprezan sa prilozima elektronske pošte. Ako prilog elektronske pošte nije očekivan i korisnik nije siguran da je za njega – ne otvarati ga.
  • Korisnici ne bi smjeli kliknuti na povezice na Internetu u elektronskoj pošti ako je elektronska pošta od nepoznatih pošiljalaca.
  • Korisnici bi trebalo da koriste jake lozinke i provjeru identiteta u više koraka (eng. multi-factor authentication – MFA)
  • Koristiti pouzdana i provjerena antivirusna rješenja.
  • Aplikacije i operativni sistem na uređaju bi uvijek trebalo da su ažurirani.

 

Zaključak

Ovo je situacija koja pokazuje da zlonamjerni programer sa minimumom ili nikakvom odgovornošću može razviti zlonamjerni softver i prodavati ga da bi stekao novčanu dobit. A onda se stvari otmu kontroli i originalni kôd procuri i postane dostupan svim zainteresovanim zlonamjernim akterima da ga modifikuju prema svojim potrebama.

XWorm RAT koristi neke od veoma efikasnih tehnika za dostavljanje konačnog aktivnog dijela zlonamjernog softvera. Različiti slojevi zlonamjernog softvera imaju visok napredni, od prikrivanja do onemogućavanja bezbjednosnih alata kako bi se izbjeglo otkrivanje. Kako su nove verzije zlonamjernog softvera dostupne na Mračnom Internetu za prodaju, to znači da se on još uvijek aktivno razvija. Zlonamjerni softver je bogat funkcijama za privlačenje zlonamjernih aktera i sposoban je da isporuči alate koji su pristupačni, upotrebljivi i ne izazivaju detekciju.

Takvi alati zlonamjernim akterima daju visok nivo pristupa zaraženim sistemima i mogućnost da obavljaju različite operacije prema njihovim potrebama. Krekovana verzija ovaj zlonamjerni softver čini još opasnijim zbog visokog nivoa dostupnosti svima, čak i djeci na skriptama.

Tags:

Možda vas interesuje i...

Komentariši

Vaša email adresa neće biti objavljivana. Neophodna polja su označena sa *


The reCAPTCHA verification period has expired. Please reload the page.