Il malware QwixxRAT si diffonde attraverso le piattaforme di messaggistica

Un trojan di accesso remoto (RAT) di recente introduzione denominato QwixxRAT è stato promosso per l'acquisto dal suo attore di minacce tramite le piattaforme Telegram e Discord.

Una volta impiantato sui computer Windows di proprietà delle vittime, il RAT raccoglie discretamente informazioni sensibili. Questi dati vengono quindi trasmessi al bot Telegram dell'aggressore, consentendogli di ottenere l'accesso non autorizzato ai dati riservati della vittima, come indicato in un recente rapporto di Uptycs.

Uptycs, una società di sicurezza informatica che ha identificato il malware all'inizio di questo mese, ha dichiarato che QwixxRAT è progettato in modo complesso per estrarre vari tipi di dati. Ciò include cronologie del browser Web, segnalibri, cookie, dettagli della carta di credito, sequenze di tasti, schermate, tipi di file specifici e informazioni da applicazioni come Steam e Telegram.

Il RAT è disponibile per l'acquisto a 150 rubli per un abbonamento di accesso settimanale o 500 rubli per una licenza a vita. Esiste anche una versione gratuita limitata dello strumento.

Caratteristiche di QwixxRAT

Sviluppato utilizzando il linguaggio di programmazione C#, QwixxRAT incorpora diversi meccanismi anti-analisi per mantenere la sua natura nascosta ed eludere il rilevamento. Queste tattiche includono una funzione sleep per introdurre ritardi durante l'esecuzione e controlli per accertare se è in esecuzione in una sandbox o in un ambiente virtualizzato.

Funzionalità aggiuntive del RAT gli consentono di monitorare un elenco predefinito di processi (come "taskmgr", "processhacker", "netstat", "netmon", "tcpview" e "wireshark"). Se viene rilevato uno di questi processi, il RAT sospende le sue operazioni fino al termine del processo. QwixxRAT contiene anche una funzione clipper che accede surrettiziamente alle informazioni sensibili copiate negli appunti del dispositivo, con l'intenzione di facilitare i trasferimenti non autorizzati dai portafogli di criptovaluta.

La comunicazione con il centro di comando e controllo (C2) avviene tramite un bot di Telegram. Questo meccanismo consente la trasmissione di comandi per eseguire ulteriori attività di raccolta dati, incluse registrazioni audio e webcam, e persino l'arresto o il riavvio remoto dell'host infetto.

La rivelazione di QwixxRAT arriva poco dopo che Cyberint ha divulgato informazioni su altre due varianti di RAT denominate RevolutionRAT e Venom Control RAT. Questi RAT sono anche pubblicizzati su vari canali Telegram e possiedono funzionalità per l'esfiltrazione di dati e connessioni di comando e controllo.

Questa rivelazione segue l'identificazione di una campagna informatica in corso che utilizza siti Web compromessi per distribuire un falso aggiornamento del browser Chrome. Questo aggiornamento funge da esca per invogliare le vittime a installare uno strumento di amministrazione remota noto come NetSupport Manager RAT. Ciò si ottiene attraverso l'uso di codice JavaScript dannoso. Mentre l'uso di una tattica ingannevole di aggiornamento del browser ricorda SocGholish (noto anche come FakeUpdates), le prove conclusive che collegano queste due attività rimangono sfuggenti.