黑客分子利用偽造的惡意軟件構(gòu)建器以被稱為 "script kiddies（腳本小子）" 的低技能黑客為目標(biāo)，通過(guò)后門(mén)秘密感染他們，以竊取數(shù)據(jù)并接管其計(jì)算機(jī)。

CloudSEK 的安全研究人員報(bào)告稱，該惡意軟件感染了全球 18,459 臺(tái)設(shè)備，其中大部分位于俄羅斯、美國(guó)、印度、烏克蘭和土耳其。 CloudSEK 報(bào)告中寫(xiě)道："XWorm RAT 構(gòu)建器的木馬版本已被武器化并傳播。" CloudSEK 發(fā)現(xiàn)該惡意軟件包含一個(gè)終止開(kāi)關(guān)，該開(kāi)關(guān)被激活以從許多受感染的計(jì)算機(jī)上卸載惡意軟件，但由于實(shí)際限制，某些計(jì)算機(jī)仍然受到損害。

假 RAT 構(gòu)建器安裝惡意軟件

研究人員表示，他們最近發(fā)現(xiàn)了一個(gè)木馬化的 XWorm RAT 構(gòu)建器通過(guò)各種渠道分發(fā)，包括 GitHub 存儲(chǔ)庫(kù)、文件托管平臺(tái)、Telegram 頻道、YouTube 視頻和網(wǎng)站。這些消息來(lái)源宣傳了 RAT 構(gòu)建器，稱它將允許其他威脅者利用該惡意軟件而無(wú)需付費(fèi)。

它是用惡意軟件感染受害者設(shè)備，一旦計(jì)算機(jī)感染了機(jī)器，X 蟲(chóng)惡意軟件就會(huì)檢查 Windows 注冊(cè)表是否有跡象是否在虛擬化環(huán)境上運(yùn)行，如果結(jié)果為正面，則停止。如果主機(jī)有資格獲得感染，則惡意軟件會(huì)執(zhí)行所需的注冊(cè)表修改，以確保系統(tǒng)啟動(dòng)之間的持久性。每個(gè)受感染的系統(tǒng)都使用硬編碼的電報(bào)機(jī)器人 ID 和令牌注冊(cè)為基于電報(bào)的命令和控制服務(wù)器（C2）服務(wù)器。

惡意軟件還會(huì)自動(dòng)竊取 Diskord 令牌，系統(tǒng)信息和位置數(shù)據(jù)（來(lái)自 IP 地址），并將其刪除到 C2 服務(wù)器。然后，它等待運(yùn)營(yíng)商的命令。在總共支持的 56 個(gè)命令中，以下特別危險(xiǎn)：

·/machine_id*browsers – 從網(wǎng)絡(luò)瀏覽器竊取保存的密碼、cookie 和自動(dòng)填充數(shù)據(jù)

·/machine_id*keylogger – 記錄受害者在計(jì)算機(jī)上輸入的所有內(nèi)容

·/machine_id*desktop – 捕獲受害者的活動(dòng)屏幕

·/machine_id*encrypt*

·/machine_id*processkill*

·/machine_id* 上傳 *

·/machine_id*uninstall – 從設(shè)備中刪除惡意軟件

CloudSEK 發(fā)現(xiàn)惡意軟件操作者從大約 11% 的受感染設(shè)備中竊取了數(shù)據(jù)，主要是截取受感染設(shè)備的屏幕截圖（如下所示）并竊取瀏覽器數(shù)據(jù)。

利用開(kāi)關(guān)破壞僵尸網(wǎng)絡(luò)

Cloudsek 的研究人員通過(guò)使用硬編碼的 API 令牌和內(nèi)置的殺傷開(kāi)關(guān)來(lái)破壞僵尸網(wǎng)絡(luò)，從而從受感染的設(shè)備中卸載了惡意軟件。

為此，他們向所有聽(tīng)眾客戶端發(fā)送了一個(gè)大規(guī)模卸載命令，遍歷以前從電報(bào)日志中提取的所有已知機(jī)器 ID。他們還假設(shè)一個(gè)簡(jiǎn)單的數(shù)字模式，從 1 到 9999 刻錄了機(jī)器 ID。

盡管這導(dǎo)致惡意軟件被從許多受感染的機(jī)器中刪除，但在發(fā)出命令時(shí)未在線的機(jī)器仍被操控。此外，某些卸載命令可能在運(yùn)輸中丟失，這是一種常見(jiàn)情況。