Το κακόβουλο λογισμικό QwixxRAT διαδίδεται μέσω πλατφορμών ανταλλαγής μηνυμάτων
Ένας trojan απομακρυσμένης πρόσβασης (RAT) που εισήχθη πρόσφατα με το όνομα QwixxRAT προωθείται προς αγορά από τον παράγοντα απειλών του μέσω τόσο των πλατφορμών Telegram όσο και του Discord.
Μόλις εμφυτευθεί σε υπολογιστές Windows που ανήκουν σε θύματα, το RAT συλλέγει διακριτικά ευαίσθητες πληροφορίες. Αυτά τα δεδομένα στη συνέχεια μεταδίδονται στο bot Telegram του εισβολέα, επιτρέποντάς του να αποκτήσει μη εξουσιοδοτημένη είσοδο στα εμπιστευτικά δεδομένα του θύματος, όπως περιγράφεται σε πρόσφατη αναφορά της Uptycs.
Η Uptycs, μια εταιρεία κυβερνοασφάλειας που εντόπισε το κακόβουλο λογισμικό νωρίτερα αυτό το μήνα, δήλωσε ότι το QwixxRAT είναι περίπλοκα σχεδιασμένο για να εξάγει διάφορους τύπους δεδομένων. Αυτό περιλαμβάνει ιστορικά προγράμματος περιήγησης ιστού, σελιδοδείκτες, cookie, στοιχεία πιστωτικής κάρτας, πληκτρολογήσεις, στιγμιότυπα οθόνης, συγκεκριμένους τύπους αρχείων και πληροφορίες από εφαρμογές όπως το Steam και το Telegram.
Το RAT είναι διαθέσιμο για αγορά με 150 ρούβλια για εβδομαδιαία συνδρομή πρόσβασης ή 500 ρούβλια για άδεια εφ' όρου ζωής. Υπάρχει επίσης μια περιορισμένη δωρεάν έκδοση του εργαλείου.
Χαρακτηριστικά του QwixxRAT
Αναπτύχθηκε με χρήση της γλώσσας προγραμματισμού C#, το QwixxRAT ενσωματώνει αρκετούς μηχανισμούς κατά της ανάλυσης για να διατηρήσει την κρυφή του φύση και να αποφύγει τον εντοπισμό. Αυτές οι τακτικές περιλαμβάνουν μια λειτουργία ύπνου για την εισαγωγή καθυστερήσεων κατά την εκτέλεση και ελέγχους για να εξακριβωθεί εάν εκτελείται σε περιβάλλον άμμου ή εικονικό περιβάλλον.
Οι πρόσθετες δυνατότητες του RAT του επιτρέπουν να παρακολουθεί μια προκαθορισμένη λίστα διεργασιών (όπως "taskmgr", "processhacker", "netstat", "netmon", "tcpview" και "wireshark"). Εάν εντοπιστεί οποιαδήποτε από αυτές τις διεργασίες, το RAT αναστέλλει τις λειτουργίες του μέχρι να τερματιστεί η διαδικασία. Το QwixxRAT περιέχει επίσης μια λειτουργία κοπής που έχει κρυφή πρόσβαση σε ευαίσθητες πληροφορίες που έχουν αντιγραφεί στο πρόχειρο της συσκευής, με σκοπό τη διευκόλυνση μη εξουσιοδοτημένων μεταφορών από πορτοφόλια κρυπτονομισμάτων.
Η επικοινωνία με το κέντρο εντολών και ελέγχου (C2) πραγματοποιείται μέσω ενός bot Telegram. Αυτός ο μηχανισμός επιτρέπει τη μετάδοση εντολών για την εκτέλεση πρόσθετων δραστηριοτήτων συλλογής δεδομένων, συμπεριλαμβανομένων εγγραφών ήχου και κάμερας web, ακόμη και τον απομακρυσμένο τερματισμό ή επανεκκίνηση του μολυσμένου κεντρικού υπολογιστή.
Η αποκάλυψη του QwixxRAT έρχεται λίγο αφότου η Cyberint αποκάλυψε πληροφορίες σχετικά με δύο άλλες παραλλαγές RAT που ονομάζονται RevolutionRAT και Venom Control RAT. Αυτοί οι RAT διαφημίζονται επίσης σε διάφορα κανάλια του Telegram και διαθέτουν δυνατότητες για εξαγωγή δεδομένων και συνδέσεις εντολών και ελέγχου.
Αυτή η αποκάλυψη ακολουθεί τον εντοπισμό μιας συνεχιζόμενης εκστρατείας στον κυβερνοχώρο που χρησιμοποιεί παραβιασμένους ιστότοπους για τη διανομή μιας ψεύτικης ενημέρωσης του προγράμματος περιήγησης Chrome. Αυτή η ενημέρωση χρησιμεύει ως δέλεαρ για να δελεάσει τα θύματα να εγκαταστήσουν ένα εργαλείο απομακρυσμένης διαχείρισης που είναι γνωστό ως NetSupport Manager RAT. Αυτό επιτυγχάνεται με τη χρήση κακόβουλου κώδικα JavaScript. Ενώ η χρήση μιας παραπλανητικής τακτικής ενημέρωσης του προγράμματος περιήγησης θυμίζει το SocGholish (γνωστό και ως FakeUpdates), τα πειστικά στοιχεία που συνδέουν αυτές τις δύο δραστηριότητες παραμένουν άπιαστα.
