QwixxRAT Malware spredt gjennom meldingsplattformer

En nylig introdusert fjerntilgangstrojaner (RAT) kalt QwixxRAT markedsføres for kjøp av trusselaktøren gjennom både Telegram- og Discord-plattformene.

Når RAT er implantert på Windows-datamaskiner som eies av ofre, samler RAT diskret inn sensitiv informasjon. Disse dataene blir deretter overført til angriperens Telegram-bot, slik at de kan få uautorisert tilgang til offerets konfidensielle data, som skissert i en fersk rapport fra Uptycs.

Uptycs, et cybersikkerhetsfirma som identifiserte skadelig programvare tidligere denne måneden, uttalte at QwixxRAT er intrikat designet for å trekke ut ulike typer data. Dette inkluderer nettleserhistorikk, bokmerker, informasjonskapsler, kredittkortdetaljer, tastetrykk, skjermbilder, spesifikke filtyper og informasjon fra applikasjoner som Steam og Telegram.

RAT er tilgjengelig for kjøp for 150 rubler for et ukentlig tilgangsabonnement eller 500 rubler for en livstidslisens. Det finnes også en begrenset gratisversjon av verktøyet.

Kjennetegn på QwixxRAT

Utviklet ved bruk av C#-programmeringsspråket, inneholder QwixxRAT flere anti-analysemekanismer for å opprettholde sin skjulte natur og unngå deteksjon. Disse taktikkene inkluderer en hvilefunksjon for å introdusere forsinkelser under utførelse og kontroller for å finne ut om den kjører i en sandkasse eller et virtualisert miljø.

Ytterligere funksjoner til RAT gjør at den kan overvåke en forhåndsdefinert liste over prosesser (som "takmgr", "processhacker", "netstat", "netmon", "tcpview" og "wireshark"). Hvis noen av disse prosessene oppdages, suspenderer RAT sine operasjoner til prosessen er avsluttet. QwixxRAT inneholder også en klippefunksjon som i det skjulte får tilgang til sensitiv informasjon som er kopiert til enhetens utklippstavle, med den hensikt å tilrettelegge for uautoriserte overføringer fra kryptovaluta-lommebøker.

Kommunikasjon med kommando-og-kontroll-senteret (C2) utføres gjennom en Telegram-bot. Denne mekanismen tillater overføring av kommandoer for å utføre ytterligere datainnsamlingsaktiviteter, inkludert lyd- og webkameraopptak, og til og med ekstern avslutning eller omstart av den infiserte verten.

Avsløringen av QwixxRAT kommer kort tid etter at Cyberint avslørte informasjon om to andre RAT-varianter kalt RevolutionRAT og Venom Control RAT. Disse RAT-ene annonseres også på forskjellige Telegram-kanaler og har funksjoner for dataeksfiltrering og kommando-og-kontroll-forbindelser.

Denne avsløringen følger identifiseringen av en pågående cyberkampanje som bruker kompromitterte nettsteder for å distribuere en falsk Chrome-nettleseroppdatering. Denne oppdateringen fungerer som et lokkemiddel for å lokke ofre til å installere et eksternt administrasjonsverktøy kjent som NetSupport Manager RAT. Dette oppnås ved bruk av ondsinnet JavaScript-kode. Selv om bruken av en villedende nettleseroppdateringstaktikk minner om SocGholish (også kjent som FakeUpdates), forblir avgjørende bevis knyttet til disse to aktivitetene unnvikende.