QwixxRAT マルウェアがメッセージング プラットフォームを通じて拡散

最近導入された QwixxRAT という名前のリモート アクセス トロイの木馬 (RAT) は、Telegram と Discord の両方のプラットフォームを通じて、脅威アクターによって購入が促進されています。

RAT は、被害者が所有する Windows コンピュータに埋め込まれると、機密情報を慎重に収集します。 Uptycs による最近のレポートで概説されているように、このデータは攻撃者の Telegram ボットに送信され、攻撃者が被害者の機密データに不正にアクセスできるようになります。

今月初めにこのマルウェアを特定したサイバーセキュリティ企業 Uptycs は、QwixxRAT はさまざまな種類のデータを抽出するように複雑に設計されていると述べました。これには、Web ブラウザの履歴、ブックマーク、Cookie、クレジット カードの詳細、キーストローク、スクリーンショット、特定のファイル タイプ、Steam や Telegram などのアプリケーションからの情報が含まれます。

RAT は、毎週のアクセス サブスクリプションの場合は 150 ルーブル、永久ライセンスの場合は 500 ルーブルで購入できます。このツールには制限付きの無料バージョンもあります。

QwixxRATの特徴

C# プログラミング言語を使用して開発された QwixxRAT には、秘密の性質を維持し、検出を回避するために、いくつかの分析防止メカニズムが組み込まれています。これらの戦術には、実行中に遅延をもたらすスリープ機能や、サンドボックス環境または仮想化環境のどちらで実行されているかを確認するチェックが含まれます。

RAT の追加機能により、事前定義されたプロセスのリスト (「taskmgr」、「processhacker」、「netstat」、「netmon」、「tcpview」、「wireshark」など) を監視できるようになります。これらのプロセスのいずれかが検出された場合、RAT はプロセスが終了するまで動作を一時停止します。 QwixxRAT には、暗号通貨ウォレットからの不正な転送を容易にする目的で、デバイスのクリップボードにコピーされた機密情報に密かにアクセスするクリッパー機能も含まれています。

コマンドアンドコントロール (C2) センターとの通信は、Telegram ボットを通じて実行されます。このメカニズムにより、オーディオや Web カメラの記録、さらには感染したホストのリモート シャットダウンや再起動など、追加のデータ収集アクティビティを実行するコマンドの送信が可能になります。

QwixxRAT の暴露は、Cyberint が RevolutionRAT と Venom Control RAT という名前の他の 2 つの RAT 亜種に関する情報を公開した直後に行われました。これらの RAT は、さまざまな Telegram チャネルでもアドバタイズされ、データ漏洩とコマンド アンド コントロール接続の機能を備えています。

この暴露は、侵害された Web サイトを利用して偽の Chrome ブラウザのアップデートを配布する進行中のサイバー キャンペーンの特定に続くものです。このアップデートは、被害者を誘惑して NetSupport Manager RAT として知られるリモート管理ツールをインストールさせる誘惑として機能します。これは、悪意のある JavaScript コードの使用によって実現されます。欺瞞的なブラウザ更新戦術の使用は SocGholish (FakeUpdates としても知られる) を彷彿とさせますが、これら 2 つの活動を結び付ける決定的な証拠は依然としてとらえどころがありません。