Hacker infecta mais de 18 mil dispositivos globais de “script kiddies” com falso construtor de malware

Um hacker explorou a falta de conhecimento técnico de aspirantes a hackers, conhecidos como “script kiddies” — indivíduos que utilizam ferramentas pré-fabricadas em vez de desenvolverem seus próprios métodos.

O ataque foi realizado por meio de um construtor trojanizado do XWorm RAT, promovido como uma versão gratuita. No entanto, ao tentar utilizar o software, os usuários infectavam seus próprios sistemas com um backdoor, permitindo ao autor original controlar remotamente os dispositivos comprometidos.

O construtor falso foi distribuído em plataformas como GitHub, Telegram, YouTube, sites e serviços de hospedagem de arquivos. Além de abrir uma porta de controle remoto, o malware roubava tokens do Discord, informações do sistema e dados de localização a partir do endereço IP, enviando essas informações para um servidor de comando e controle. De acordo com uma empresa de segurança, cerca de 11% dos dispositivos infectados tiveram seus dados exfiltrados pelos operadores do malware.

A botnet foi desativada pela empresa de segurança, que explorou tokens de API codificados e um kill switch integrado no malware para desinstalá-lo remotamente de muitos dispositivos infectados. No entanto, máquinas que estavam offline no momento do comando permanecem comprometidas.