QwixxRAT-malware verspreid via berichtenplatforms

Een onlangs geïntroduceerde trojan voor externe toegang (RAT) genaamd QwixxRAT wordt gepromoot voor aankoop door zijn bedreigingsactor via zowel Telegram- als Discord-platforms.

Eenmaal geïmplanteerd op Windows-computers die eigendom zijn van slachtoffers, verzamelt de RAT op discrete wijze gevoelige informatie. Deze gegevens worden vervolgens doorgestuurd naar de Telegram-bot van de aanvaller, waardoor deze onbevoegd toegang kan krijgen tot de vertrouwelijke gegevens van het slachtoffer, zoals uiteengezet in een recent rapport van Uptycs.

Uptycs, een cyberbeveiligingsbedrijf dat eerder deze maand de malware identificeerde, verklaarde dat QwixxRAT ingewikkeld is ontworpen om verschillende soorten gegevens te extraheren. Dit omvat webbrowsergeschiedenis, bladwijzers, cookies, creditcardgegevens, toetsaanslagen, screenshots, specifieke bestandstypen en informatie van applicaties zoals Steam en Telegram.

De RAT is te koop voor 150 roebel voor een wekelijks toegangsabonnement of 500 roebel voor een levenslange licentie. Er is ook een beperkte gratis versie van de tool.

Kenmerken van QwixxRAT

QwixxRAT is ontwikkeld met behulp van de programmeertaal C# en bevat verschillende anti-analysemechanismen om zijn geheime karakter te behouden en detectie te omzeilen. Deze tactieken omvatten een slaapfunctie om vertragingen tijdens de uitvoering te introduceren en controles om na te gaan of het in een sandbox of in een gevirtualiseerde omgeving draait.

Extra mogelijkheden van de RAT stellen het in staat om een vooraf gedefinieerde lijst van processen te monitoren (zoals "taskmgr", "processhacker", "netstat", "netmon", "tcpview" en "wireshark"). Als een van deze processen wordt gedetecteerd, onderbreekt de RAT zijn activiteiten totdat het proces is beëindigd. QwixxRAT bevat ook een clipper-functie die heimelijk toegang krijgt tot gevoelige informatie die naar het klembord van het apparaat is gekopieerd, met de bedoeling ongeautoriseerde overdrachten van cryptocurrency-portefeuilles te vergemakkelijken.

De communicatie met het commando- en controlecentrum (C2) verloopt via een Telegram-bot. Dit mechanisme maakt de overdracht van commando's mogelijk om aanvullende gegevensverzamelingsactiviteiten uit te voeren, waaronder audio- en webcamopnamen, en zelfs het op afstand afsluiten of herstarten van de geïnfecteerde host.

De onthulling van QwixxRAT komt kort nadat Cyberint informatie heeft vrijgegeven over twee andere RAT-varianten genaamd RevolutionRAT en Venom Control RAT. Deze RAT's worden ook geadverteerd op verschillende Telegram-kanalen en beschikken over functies voor data-exfiltratie en command-and-control-verbindingen.

Deze onthulling volgt op de identificatie van een lopende cybercampagne die gecompromitteerde websites gebruikt om een valse Chrome-browserupdate te verspreiden. Deze update dient als lokaas om slachtoffers te verleiden tot het installeren van een hulpprogramma voor beheer op afstand dat bekend staat als NetSupport Manager RAT. Dit wordt bereikt door het gebruik van kwaadaardige JavaScript-code. Hoewel het gebruik van een misleidende browserupdate-tactiek doet denken aan SocGholish (ook bekend als FakeUpdates), blijft overtuigend bewijs dat deze twee activiteiten met elkaar in verband brengt ongrijpbaar.