Hacker engana e contamina 18 mil script kiddies

Um hacker está explorando os calouros do cibercrime – os “script kiddies” – distribuindo um falso criador de trojans que, em vez de gerar malware para uso deles, infecta os dispositivos Windows de quem utiliza. O programa, promovido como um builder do XWorm, um Trojan de Acesso Remoto (RAT), é amplamente compartilhado em plataformas como GitHub, canais do Telegram e serviços de compartilhamento de arquivos, enganando iniciantes na área.

Ao ser executado, o falso builder instala um malware no dispositivo do usuário , que rouba senhas e cookies armazenados nos navegadores de internet, tira capturas de tela, desliga o sistema remotamente e até força uma “Tela Azul da Morte”. Segundo a empresa de segurança CloudSEK, o malware também se comunica com o hacker por meio de uma conta de bot no Telegram, transmitindo informações exfiltradas.

A investigação da CloudSEK revelou que mais de 18.459 dispositivos em todo o mundo foram comprometidos, com vítimas em países como Rússia, EUA, Índia, Ucrânia e Turquia. Dos dispositivos afetados, 2.068 tiveram suas credenciais de navegador roubadas. O ataque foi direcionado especialmente a “script kiddies” — indivíduos inexperientes em segurança cibernética que seguem tutoriais e utilizam ferramentas prontas.

Apesar da gravidade do ataque, a CloudSEK encontrou um recurso interessante no malware: um “kill switch” que permite desinstalá-lo enviando o comando “/uninstall” para o bot do Telegram associado. A empresa utilizou esse recurso para tentar neutralizar a infecção em milhares de dispositivos. No entanto, a eficácia foi limitada porque o comando só funciona quando o dispositivo infectado está online, além das restrições de envio em massa do Telegram.

Essa estratégia de enganar cibercriminosos novatos destaca os riscos de utilizar ferramentas de fontes duvidosas. Além de comprometer os próprios dispositivos, os usuários inadvertidamente contribuem para a disseminação de ameaças mais sofisticadas.