Матёрые хакеры заразили 18 000 компьютеров скрипт-кидди бэкдором

Матёрые хакеры заразили 18 000 компьютеров скрипт-кидди бэкдором

Матёрые хакеры заразили 18 000 компьютеров скрипт-кидди бэкдором

Киберпреступники установили бэкдор на 18 459 компьютеров скрипт-кидди. Злоумышленники специально искали неподготовленных хакеров, предлагая им билдер вредоносных программ.

Согласно отчёту, CloudSEK большинство заражённых машин находится в России, США, Индии, Украине и Турции.

«Атакующие использовали троянизирвоанную версию билдера XWorm RAT. При этом они специально брали в оборот скрипт-кидди — малоквалифицированных хакеров», — пишут исследователи.

В CloudSEK отметили наличие так называемого аварийного выключателя (kill switch), предназначенного для деинсталляции вредоносной программы с большинства компьютеров, но из-за наличия определённых ограничений они всё равно остались с бэкдором.

 

Билдер XWorm RAT распространялся сразу через несколько каналов: репозитории GitHub, файлообменники, телеграм-каналы, видео на YouTube и веб-сайты.

Попав в систему, этот фейковый билдер заражал устройство вредоносом XWorm. Последний управлялся с помощью основанного на Telegram командного центра. Интересно также, что XWorm мог вычислять виртуальную среду, чтобы исключить выполнение на компьютере исследователей.

В общей сложности вредоносная программа выполняет 56 команд, включая следующие:

  • /machine_id*browsers — позволяет вытаскивать сохранённые пароли, cookies и данные автозаполнения.
  • /machine_id*keylogger — записывает любой ввод с клавиатуры.
  • /machine_id*desktop — фиксирует активный экран.
  • /machine_id*encrypt*<password> — шифрует все файлы с помощью специально указанного пароля.
  • /machine_id*processkill*<process> — завершает определённые процессы, включая антивирусные программы.
  • /machine_id*upload*<file> — вытаскивает указанные файлы.
  • /machine_id*uninstall — удаляет вредонос с устройства.

Кроме того, XWorm снимал скриншоты заражённых систем, один из которых приводят специалисты CloudSEK:

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

WhatsApp запускает Private Processing: ИИ без ущерба для приватности

WhatsApp (принадлежит признанной в России экстремистской и запрещённой корпорации Meta) снова на волне новинок — на этот раз мессенджер представил новую технологию Private Processing.

Она позволяет использовать функции искусственного интеллекта вроде суммаризации непрочитанных сообщений или помощи с редактированием текста, при этом полностью сохраняя обещания по конфиденциальности.

Private Processing обрабатывает запросы пользователей в защищённой среде — в так называемой конфиденциальной виртуальной машине (Confidential Virtual Machine, CVM). Причём ни Meta (признана в России экстремистской и запрещена), ни сам WhatsApp не смогут увидеть, что именно вы отправили на обработку. Всё происходит «внутри коробки», и наружу ничего не утекает.

Чтобы ещё больше укрепить безопасность, компания ввела несколько правил:

  • Гарантии на уровне системы: если кто-то попробует вмешаться в обработку данных, система либо сразу «падает», либо выдаёт себя с головой.
  • Проверяемая прозрачность: любой пользователь или независимый исследователь может провести аудит работы системы.
  • Защита от таргетирования: нельзя выбрать конкретного пользователя для атаки, не разрушив всю архитектуру безопасности.
  • Стейтлес-подход и прямая защита истории: данные не сохраняются после обработки — даже если кто-то взломает систему, достать старые запросы будет невозможно.

Процесс устроен так: сначала клиент WhatsApp получает анонимные учётные данные и устанавливает защищённое соединение через специальный шлюз и третий ретранслятор, скрывающий IP-адрес.

Потом создаётся сессия с защищённой средой (Trusted Execution Environment, TEE), куда зашифрованный запрос передаётся через уникальный одноразовый ключ. Расшифровать его может только устройство пользователя или сама TEE.

Разработчики честно признают: полностью избавиться от рисков нельзя. Возможны атаки через инсайдеров, уязвимости в цепочке поставок или действия злоумышленников на стороне пользователей. Но компания уверяет, что использует многоуровневую защиту, чтобы минимизировать все возможные угрозы.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

RSS: Новости на портале Anti-Malware.ru