QwixxRAT kenkėjiška programa plinta per pranešimų platformas

Neseniai pristatytą nuotolinės prieigos Trojos arklį (RAT), pavadintą QwixxRAT, jo grėsmės veikėjas reklamuoja pirkti per Telegram ir Discord platformas.

Įsodintas į Windows kompiuterius, priklausančius aukoms, RAT diskretiškai renka slaptą informaciją. Tada šie duomenys perduodami užpuoliko „Telegram“ robotui, kad jie galėtų neteisėtai patekti į aukos konfidencialius duomenis, kaip nurodyta naujausioje „Uptycs“ ataskaitoje.

Kibernetinio saugumo įmonė „Uptycs“, anksčiau šį mėnesį identifikavusi kenkėjišką programą, pareiškė, kad „QwixxRAT“ yra sudėtingai sukurtas įvairių tipų duomenims išgauti. Tai apima žiniatinklio naršyklės istorijas, žymes, slapukus, kredito kortelės informaciją, klavišų paspaudimus, ekrano kopijas, konkrečius failų tipus ir informaciją iš tokių programų kaip Steam ir Telegram.

RAT galima įsigyti už 150 rublių už savaitės prieigos abonementą arba 500 rublių už licenciją visam gyvenimui. Taip pat yra ribota nemokama įrankio versija.

QwixxRAT charakteristikos

Sukurta naudojant C# programavimo kalbą, QwixxRAT apima kelis antianalizės mechanizmus, kad išlaikytų savo slaptą pobūdį ir išvengtų aptikimo. Šios taktikos apima miego funkciją, kuri įveda uždelsimą vykdymo metu, ir patikrinimus, siekiant nustatyti, ar jis veikia smėlio dėžėje, ar virtualizuotoje aplinkoje.

Papildomos RAT galimybės leidžia stebėti iš anksto nustatytą procesų sąrašą (pvz., „taskmgr“, „processhacker“, „netstat“, „netmon“, „tcpview“ ir „wireshark“). Jei aptinkamas kuris nors iš šių procesų, RAT sustabdo savo veiklą, kol procesas bus nutrauktas. QwixxRAT taip pat turi kirpimo funkciją, kuri slapta pasiekia slaptą informaciją, nukopijuotą į įrenginio iškarpinę, siekiant palengvinti neteisėtus pervedimus iš kriptovaliutų piniginių.

Ryšys su komandų ir valdymo (C2) centru vykdomas per „Telegram“ robotą. Šis mechanizmas leidžia perduoti komandas, kad būtų vykdoma papildoma duomenų rinkimo veikla, įskaitant garso ir žiniatinklio kameros įrašus, ir netgi nuotoliniu būdu išjungti arba iš naujo paleisti užkrėstą pagrindinį kompiuterį.

QwixxRAT buvo atskleista netrukus po to, kai Cyberint atskleidė informaciją apie kitus du RAT variantus, pavadintus RevolutionRAT ir Venom Control RAT. Šie RAT taip pat reklamuojami įvairiuose „Telegram“ kanaluose ir turi duomenų išfiltravimo bei komandų ir valdymo ryšių funkcijas.

Šis apreiškimas atskleidžiamas po to, kai buvo nustatyta vykstanti kibernetinė kampanija, kurios metu naudojamos pažeistos svetainės, kad būtų platinamas netikras „Chrome“ naršyklės naujinys. Šis naujinimas pritraukia aukas, kad jie įdiegtų nuotolinio administravimo įrankį, žinomą kaip NetSupport Manager RAT. Tai pasiekiama naudojant kenkėjišką JavaScript kodą. Nors apgaulingos naršyklės atnaujinimo taktikos naudojimas primena „SocGholish“ (taip pat žinomas kaip „FakeUpdates“), įtikinamų įrodymų, siejančių šias dvi veiklas, vis dar nėra daug.