QwixxRAT-Malware verbreitet sich über Messaging-Plattformen

Ein kürzlich eingeführter Fernzugriffstrojaner (RAT) namens QwixxRAT wird von seinem Bedrohungsakteur sowohl über die Plattformen Telegram als auch Discord zum Kauf angeboten.

Sobald der RAT auf Windows-Computern der Opfer implantiert wird, sammelt er diskret vertrauliche Informationen. Diese Daten werden dann an den Telegram-Bot des Angreifers übermittelt, wodurch dieser sich unbefugten Zugriff auf die vertraulichen Daten des Opfers verschaffen kann, wie in einem aktuellen Bericht von Uptycs dargelegt.

Uptycs, ein Cybersicherheitsunternehmen, das die Malware Anfang des Monats identifiziert hat, gab an, dass QwixxRAT aufwendig darauf ausgelegt sei, verschiedene Arten von Daten zu extrahieren. Dazu gehören Webbrowser-Verläufe, Lesezeichen, Cookies, Kreditkartendaten, Tastenanschläge, Screenshots, bestimmte Dateitypen und Informationen aus Anwendungen wie Steam und Telegram.

Die RAT kann für 150 Rubel für ein wöchentliches Zugangsabonnement oder für 500 Rubel für eine lebenslange Lizenz erworben werden. Es gibt auch eine eingeschränkte kostenlose Version des Tools.

Eigenschaften von QwixxRAT

QwixxRAT wurde mit der Programmiersprache C# entwickelt und verfügt über mehrere Anti-Analyse-Mechanismen, um seinen verdeckten Charakter aufrechtzuerhalten und einer Erkennung zu entgehen. Zu diesen Taktiken gehören eine Schlaffunktion, um Verzögerungen während der Ausführung herbeizuführen, und Überprüfungen, um festzustellen, ob die Ausführung in einer Sandbox oder einer virtualisierten Umgebung erfolgt.

Zusätzliche Funktionen des RAT ermöglichen es ihm, eine vordefinierte Liste von Prozessen zu überwachen (z. B. „taskmgr“, „processhacker“, „netstat“, „netmon“, „tcpview“ und „wireshark“). Wenn einer dieser Prozesse erkannt wird, unterbricht das RAT seinen Betrieb, bis der Prozess beendet ist. QwixxRAT enthält außerdem eine Clipper-Funktion, die heimlich auf vertrauliche Informationen zugreift, die in die Zwischenablage des Geräts kopiert wurden, mit der Absicht, unbefugte Übertragungen von Kryptowährungs-Wallets zu erleichtern.

Die Kommunikation mit der Command-and-Control-Zentrale (C2) erfolgt über einen Telegram-Bot. Dieser Mechanismus ermöglicht die Übertragung von Befehlen zur Ausführung zusätzlicher Datenerfassungsaktivitäten, einschließlich Audio- und Webcam-Aufzeichnungen und sogar das Remote-Herunterfahren oder Neustarten des infizierten Hosts.

Die Enthüllung von QwixxRAT erfolgt kurz nachdem Cyberint Informationen über zwei weitere RAT-Varianten namens RevolutionRAT und Venom Control RAT veröffentlicht hat. Diese RATs werden auch auf verschiedenen Telegram-Kanälen beworben und verfügen über Funktionen zur Datenexfiltration und Command-and-Control-Verbindungen.

Diese Enthüllung folgt auf die Identifizierung einer laufenden Cyberkampagne, die kompromittierte Websites nutzt, um ein gefälschtes Chrome-Browser-Update zu verbreiten. Dieses Update dient als Lockmittel, um Opfer dazu zu verleiten, ein Remote-Verwaltungstool namens NetSupport Manager RAT zu installieren. Dies wird durch die Verwendung von bösartigem JavaScript-Code erreicht. Während die Verwendung einer betrügerischen Browser-Update-Taktik an SocGholish (auch bekannt als FakeUpdates) erinnert, sind schlüssige Beweise für einen Zusammenhang zwischen diesen beiden Aktivitäten noch nicht zu finden.