A QwixxRAT rosszindulatú programok üzenetküldő platformokon keresztül terjednek

A közelmúltban bevezetett, QwixxRAT nevű távoli hozzáférésű trójai (RAT) vásárlását reklámozza fenyegető szereplője Telegram és Discord platformon keresztül.

Miután az áldozatok tulajdonában lévő Windows-számítógépekre beültették, a RAT diszkréten összegyűjti az érzékeny információkat. Ezeket az adatokat azután továbbítják a támadó Telegram botjához, lehetővé téve számukra, hogy illetéktelenül hozzáférjenek az áldozat bizalmas adataihoz, amint azt az Uptycs nemrégiben közzétett jelentésében felvázolta.

Az Uptycs, egy kiberbiztonsági cég, amely a hónap elején azonosította a kártevőt, kijelentette, hogy a QwixxRAT bonyolultan úgy lett kialakítva, hogy különféle típusú adatokat kinyerjen. Ez magában foglalja a webböngészési előzményeket, a könyvjelzőket, a cookie-kat, a hitelkártyaadatokat, a billentyűleütéseket, a képernyőképeket, az adott fájltípusokat és az olyan alkalmazásokból származó információkat, mint a Steam és a Telegram.

A RAT heti hozzáférési előfizetésért 150 rubelért vagy egy életre szóló licencért 500 rubelért vásárolható meg. Az eszköznek korlátozott számú ingyenes verziója is létezik.

A QwixxRAT jellemzői

A C# programozási nyelv használatával kifejlesztett QwixxRAT számos anti-analízis mechanizmust tartalmaz, hogy megőrizze rejtett jellegét és elkerülje az észlelést. Ezek a taktikák magukban foglalják az alvó funkciót, amely késéseket hoz létre a végrehajtás során, és ellenőrzi, hogy homokozóban vagy virtualizált környezetben fut-e.

A RAT további képességei lehetővé teszik a folyamatok előre meghatározott listájának figyelését (például "taskmgr", "processhacker", "netstat", "netmon", "tcpview" és "wireshark"). Ha ezen folyamatok bármelyikét észleli, a RAT felfüggeszti működését a folyamat leállításáig. A QwixxRAT egy vágó funkciót is tartalmaz, amely titokban hozzáfér az eszköz vágólapjára másolt érzékeny információkhoz, azzal a szándékkal, hogy megkönnyítse a kriptovaluta pénztárcákból történő jogosulatlan átutalásokat.

A kommunikáció a parancsnoki és vezérlőközponttal (C2) egy Telegram boton keresztül történik. Ez a mechanizmus lehetővé teszi a parancsok továbbítását további adatgyűjtési tevékenységek végrehajtásához, beleértve a hang- és webkamerás felvételeket, sőt a fertőzött gazdagép távoli leállítását vagy újraindítását is.

A QwixxRAT felfedése röviddel azután érkezik, hogy a Cyberint két másik RAT-változatról, a RevolutionRAT-ról és a Venom Control RAT-ról közölt információkat. Ezeket a RAT-okat különféle Telegram-csatornákon is hirdetik, és rendelkeznek az adatok kiszűrésére és a parancs- és vezérlőkapcsolatokra vonatkozó funkciókkal.

Ez a feltárás egy folyamatban lévő kiberkampány azonosítását követi, amely feltört webhelyeket alkalmaz egy hamis Chrome böngészőfrissítés terjesztésére. Ez a frissítés arra csábítja az áldozatokat, hogy telepítsenek egy NetSupport Manager RAT néven ismert távoli adminisztrációs eszközt. Ez rosszindulatú JavaScript kód használatával érhető el. Míg a megtévesztő böngészőfrissítési taktika a SocGholish-re (más néven FakeUpdatesre) emlékeztet, a két tevékenység összekapcsolására szolgáló meggyőző bizonyíték továbbra is megfoghatatlan.