Les logiciels malveillants QwixxRAT se propagent via les plates-formes de messagerie

Un cheval de Troie d'accès à distance (RAT) récemment introduit nommé QwixxRAT est promu à l'achat par son acteur de la menace via les plates-formes Telegram et Discord.

Une fois implanté sur les ordinateurs Windows appartenant aux victimes, le RAT recueille discrètement des informations sensibles. Ces données sont ensuite transmises au bot Telegram de l'attaquant, ce qui lui permet d'accéder sans autorisation aux données confidentielles de la victime, comme indiqué dans un récent rapport d'Uptycs.

Uptycs, une entreprise de cybersécurité qui a identifié le logiciel malveillant au début du mois, a déclaré que QwixxRAT est conçu de manière complexe pour extraire divers types de données. Cela inclut les historiques de navigateur Web, les signets, les cookies, les détails de la carte de crédit, les frappes au clavier, les captures d'écran, les types de fichiers spécifiques et les informations provenant d'applications telles que Steam et Telegram.

Le RAT est disponible à l'achat à 150 roubles pour un abonnement d'accès hebdomadaire ou 500 roubles pour une licence à vie. Il existe également une version gratuite limitée de l'outil.

Caractéristiques de QwixxRAT

Développé à l'aide du langage de programmation C #, QwixxRAT intègre plusieurs mécanismes anti-analyse pour maintenir sa nature secrète et échapper à la détection. Ces tactiques incluent une fonction de mise en veille pour introduire des retards lors de l'exécution et des vérifications pour déterminer s'il s'exécute dans un environnement sandbox ou virtualisé.

Des capacités supplémentaires du RAT lui permettent de surveiller une liste prédéfinie de processus (tels que « taskmgr », « processhacker », « netstat », « netmon », « tcpview » et « wireshark »). Si l'un de ces processus est détecté, le RAT suspend ses opérations jusqu'à ce que le processus soit terminé. QwixxRAT contient également une fonction de clipper qui accède subrepticement aux informations sensibles copiées dans le presse-papiers de l'appareil, dans le but de faciliter les transferts non autorisés à partir de portefeuilles de crypto-monnaie.

La communication avec le centre de commande et de contrôle (C2) s'effectue via un bot Telegram. Ce mécanisme permet la transmission de commandes pour exécuter des activités de collecte de données supplémentaires, y compris des enregistrements audio et webcam, et même l'arrêt ou le redémarrage à distance de l'hôte infecté.

La révélation de QwixxRAT intervient peu de temps après que Cyberint a divulgué des informations sur deux autres variantes de RAT nommées RevolutionRAT et Venom Control RAT. Ces RAT sont également annoncés sur divers canaux Telegram et possèdent des fonctionnalités d'exfiltration de données et de connexions de commande et de contrôle.

Cette révélation fait suite à l'identification d'une cybercampagne en cours qui utilise des sites Web compromis pour distribuer une fausse mise à jour du navigateur Chrome. Cette mise à jour sert de leurre pour inciter les victimes à installer un outil d'administration à distance appelé NetSupport Manager RAT. Ceci est réalisé grâce à l'utilisation de code JavaScript malveillant. Bien que l'utilisation d'une tactique trompeuse de mise à jour du navigateur rappelle SocGholish (également connu sous le nom de FakeUpdates), des preuves concluantes liant ces deux activités restent insaisissables.