El malware QwixxRAT se propaga a través de plataformas de mensajería

Un troyano de acceso remoto (RAT) introducido recientemente llamado QwixxRAT está siendo promocionado para su compra por su actor de amenazas a través de las plataformas Telegram y Discord.

Una vez implantada en las computadoras con Windows propiedad de las víctimas, la RAT recopila discretamente información confidencial. Estos datos luego se transmiten al bot de Telegram del atacante, lo que les permite acceder sin autorización a los datos confidenciales de la víctima, como se describe en un informe reciente de Uptycs.

Uptycs, una empresa de ciberseguridad que identificó el malware a principios de este mes, afirmó que QwixxRAT está diseñado de manera compleja para extraer varios tipos de datos. Esto incluye historiales de navegación web, marcadores, cookies, detalles de tarjetas de crédito, pulsaciones de teclas, capturas de pantalla, tipos de archivos específicos e información de aplicaciones como Steam y Telegram.

La RAT está disponible para su compra a 150 rublos por una suscripción de acceso semanal o 500 rublos por una licencia de por vida. También hay una versión gratuita limitada de la herramienta.

Características de QwixxRAT

Desarrollado usando el lenguaje de programación C#, QwixxRAT incorpora varios mecanismos anti-análisis para mantener su naturaleza encubierta y evadir la detección. Estas tácticas incluyen una función de suspensión para introducir retrasos durante la ejecución y comprobaciones para determinar si se está ejecutando en un entorno de pruebas o virtualizado.

Las capacidades adicionales de RAT le permiten monitorear una lista predefinida de procesos (como "taskmgr", "processhacker", "netstat", "netmon", "tcpview" y "wireshark"). Si se detecta alguno de estos procesos, la RAT suspende sus operaciones hasta que finaliza el proceso. QwixxRAT también contiene una función de clipper que accede subrepticiamente a información confidencial copiada en el portapapeles del dispositivo, con la intención de facilitar transferencias no autorizadas desde billeteras de criptomonedas.

La comunicación con el centro de mando y control (C2) se realiza a través de un bot de Telegram. Este mecanismo permite la transmisión de comandos para ejecutar actividades adicionales de recopilación de datos, incluidas grabaciones de audio y cámara web, e incluso el apagado o reinicio remoto del host infectado.

La revelación de QwixxRAT se produce poco después de que Cyberint revelara información sobre otras dos variantes de RAT llamadas RevolutionRAT y Venom Control RAT. Estas RAT también se anuncian en varios canales de Telegram y poseen funciones para la exfiltración de datos y conexiones de comando y control.

Esta revelación sigue a la identificación de una campaña cibernética en curso que emplea sitios web comprometidos para distribuir una actualización falsa del navegador Chrome. Esta actualización sirve como señuelo para tentar a las víctimas a instalar una herramienta de administración remota conocida como NetSupport Manager RAT. Esto se logra mediante el uso de código JavaScript malicioso. Si bien el uso de una táctica engañosa de actualización del navegador recuerda a SocGholish (también conocido como FakeUpdates), la evidencia concluyente que vincula estas dos actividades sigue siendo esquiva.