黑客分子期骗伪造的坏心软件构建器以被称为 " script kiddies（剧本小子）" 的低手段黑客为主义，通事后门秘密感染他们，以窃取数据并给与其策动机。

CloudSEK 的安全谋划东谈主员请问称，该坏心软件感染了民众 18,459 台设备，其中大部分位于俄罗斯、好意思国、印度、乌克兰和土耳其。 CloudSEK 请问中写谈：" XWorm RAT 构建器的木马版块已被火器化并传播。" CloudSEK 发现该坏心软件包含一个间离隔关，该开关被激活以从很多受感染的策动机上卸载坏心软件，但由于执行截至，某些策动机仍然受到毁伤。

受感染设备的位置

假 RAT 构建器装置坏心软件

谋划东谈主员暗示，他们最近发现了一个木马化的 XWorm RAT 构建器通过各式渠谈分发，包括 GitHub 存储库、文献托管平台、Telegram 频谈、YouTube 视频和网站。这些讯息着手宣传了 RAT 构建器，称它将允许其他操纵者期骗该坏心软件而无需付费。

它是用坏心软件感染受害者设备，一朝策动机感染了机器，X 虫坏心软件就会搜检 Windows 注册表是否有迹象是否在造谣化环境上入手，如果成果为正面，则住手。如果主机有履历得回感染，则坏心软件会践诺所需的注册表修改，以确保系统启动之间的抓久性。每个受感染的系统皆使用硬编码的电报机器东谈主 ID 和令牌注册为基于电报的高歌和适度做事器（C2）做事器。

坏心软件还会自动窃取 Diskord 令牌，系统信息和位置数据（来自 IP 地址），并将其删除到 C2 做事器。然后，它恭候运营商的高歌。在整个撑抓的 56 个高歌中，以下额外危急：

·/machine_id*browsers – 从聚积浏览器窃取保存的密码、cookie 和自动填凑数据

·/machine_id*keylogger – 纪录受害者在策动机上输入的系数内容

·/machine_id*desktop – 拿获受害者的活动屏幕

·/machine_id*encrypt*

·/machine_id*processkill*

·/machine_id* 上传 *

·/machine_id*uninstall – 从设备中删除坏心软件

CloudSEK 发现坏心软件操作家从轻便 11% 的受感染设备中窃取了数据，主如果截取受感染设备的屏幕截图（如下所示）并窃取浏览器数据。

来自黑客桌面的屏幕截图

期骗开关破碎僵尸聚积

Cloudsek 的谋划东谈主员通过使用硬编码的 API 令牌和内置的杀伤开关来破碎僵尸聚积，从而从受感染的设备中卸载了坏心软件。

为此，他们向系数听众客户端发送了一个大限度卸载高歌，遍历当年从电报日记中提真金不怕火的系数已知机器 ID。他们还假定一个轻率的数字花样，从 1 到 9999 刻录了机器 ID。

发送卸载高歌

尽管这导致坏心软件被从很多受感染的机器中删除体育游戏app平台，但在发出高歌时未在线的机器仍被操控。此外，某些卸载高歌可能在输送中丢失，这是一种常见情况。