QwixxRAT Malware spredt gennem meddelelsesplatforme

En nyligt introduceret remote access trojan (RAT) ved navn QwixxRAT promoveres til køb af sin trusselaktør gennem både Telegram og Discord platforme.

Når den først er implanteret på Windows-computere, der ejes af ofre, indsamler RAT diskret følsomme oplysninger. Disse data overføres derefter til angriberens Telegram-bot, hvilket gør det muligt for dem at få uautoriseret adgang til ofrets fortrolige data, som beskrevet i en nylig rapport fra Uptycs.

Uptycs, et cybersikkerhedsfirma, der identificerede malwaren tidligere på måneden, udtalte, at QwixxRAT er indviklet designet til at udtrække forskellige typer data. Dette inkluderer webbrowserhistorik, bogmærker, cookies, kreditkortoplysninger, tastetryk, skærmbilleder, specifikke filtyper og oplysninger fra applikationer som Steam og Telegram.

RAT kan købes for 150 rubler for et ugentligt adgangsabonnement eller 500 rubler for en livstidslicens. Der er også en begrænset gratis version af værktøjet.

Karakteristika for QwixxRAT

QwixxRAT er udviklet ved hjælp af C#-programmeringssproget og inkorporerer adskillige anti-analysemekanismer for at bevare sin skjulte natur og undgå detektion. Disse taktikker inkluderer en dvalefunktion til at introducere forsinkelser under udførelse og kontroller for at fastslå, om den kører i en sandkasse eller et virtualiseret miljø.

Yderligere funktioner i RAT gør det muligt for den at overvåge en foruddefineret liste over processer (såsom "takmgr", "processhacker", "netstat", "netmon", "tcpview" og "wireshark"). Hvis nogen af disse processer detekteres, suspenderer RAT sine operationer, indtil processen er afsluttet. QwixxRAT indeholder også en klippefunktion, der i det skjulte får adgang til følsomme oplysninger, der er kopieret til enhedens udklipsholder, med det formål at lette uautoriserede overførsler fra cryptocurrency-punge.

Kommunikation med kommando-og-kontrol-centret (C2) udføres gennem en Telegram-bot. Denne mekanisme giver mulighed for overførsel af kommandoer til at udføre yderligere dataindsamlingsaktiviteter, herunder lyd- og webcam-optagelser, og endda fjernnedlukning eller genstart af den inficerede vært.

Afsløringen af QwixxRAT kommer kort efter, at Cyberint afslørede oplysninger om to andre RAT-varianter ved navn RevolutionRAT og Venom Control RAT. Disse RAT'er annonceres også på forskellige Telegram-kanaler og har funktioner til dataeksfiltrering og kommando-og-kontrolforbindelser.

Denne afsløring følger identifikationen af en igangværende cyberkampagne, der anvender kompromitterede websteder til at distribuere en falsk Chrome-browseropdatering. Denne opdatering tjener som et lokkemiddel til at lokke ofre til at installere et fjernadministrationsværktøj kendt som NetSupport Manager RAT. Dette opnås ved brug af ondsindet JavaScript-kode. Mens brugen af en vildledende browseropdateringstaktik minder om SocGholish (også kendt som FakeUpdates), er afgørende beviser, der forbinder disse to aktiviteter, stadig uhåndgribelige.