Złośliwe oprogramowanie QwixxRAT rozprzestrzenia się za pośrednictwem platform komunikacyjnych

Niedawno wprowadzony trojan zdalnego dostępu (RAT) o nazwie QwixxRAT jest promowany do zakupu przez swojego cyberprzestępcę za pośrednictwem platform Telegram i Discord.

Po wszczepieniu na komputery z systemem Windows należące do ofiar, RAT dyskretnie zbiera poufne informacje. Dane te są następnie przesyłane do bota Telegram atakującego, umożliwiając mu uzyskanie nieautoryzowanego dostępu do poufnych danych ofiary, jak opisano w niedawnym raporcie Uptycs.

Uptycs, firma zajmująca się cyberbezpieczeństwem, która zidentyfikowała złośliwe oprogramowanie na początku tego miesiąca, stwierdziła, że QwixxRAT jest misternie zaprojektowany do wydobywania różnych typów danych. Obejmuje to historię przeglądarki internetowej, zakładki, pliki cookie, dane karty kredytowej, naciśnięcia klawiszy, zrzuty ekranu, określone typy plików oraz informacje z aplikacji takich jak Steam i Telegram.

RAT można kupić za 150 rubli za cotygodniową subskrypcję dostępu lub 500 rubli za dożywotnią licencję. Dostępna jest również ograniczona darmowa wersja narzędzia.

Charakterystyka QwixxRAT

Opracowany przy użyciu języka programowania C#, QwixxRAT zawiera kilka mechanizmów przeciwdziałających analizie, aby zachować swój ukryty charakter i uniknąć wykrycia. Te taktyki obejmują funkcję uśpienia, która wprowadza opóźnienia podczas wykonywania, oraz sprawdza, czy działa w środowisku piaskownicy, czy w środowisku zwirtualizowanym.

Dodatkowe możliwości RAT umożliwiają monitorowanie predefiniowanej listy procesów (takich jak „taskmgr”, „processhacker”, „netstat”, „netmon”, „tcpview” i „wireshark”). Jeśli którykolwiek z tych procesów zostanie wykryty, RAT wstrzymuje swoje działanie do czasu zakończenia procesu. QwixxRAT zawiera również funkcję przycinania, która potajemnie uzyskuje dostęp do poufnych informacji skopiowanych do schowka urządzenia w celu ułatwienia nieautoryzowanych transferów z portfeli kryptowalut.

Komunikacja z centrum dowodzenia i kontroli (C2) odbywa się za pośrednictwem bota Telegram. Mechanizm ten pozwala na przesyłanie poleceń w celu wykonania dodatkowych działań związanych z gromadzeniem danych, w tym nagrań audio i kamery internetowej, a nawet zdalnego wyłączenia lub ponownego uruchomienia zainfekowanego hosta.

Ujawnienie QwixxRAT następuje wkrótce po tym, jak Cyberint ujawnił informacje o dwóch innych wariantach RAT o nazwach RevolutionRAT i Venom Control RAT. Te RAT są również reklamowane na różnych kanałach Telegramu i posiadają funkcje eksfiltracji danych oraz połączeń dowodzenia i kontroli.

To ujawnienie następuje po zidentyfikowaniu trwającej kampanii cybernetycznej, która wykorzystuje zainfekowane strony internetowe do dystrybucji fałszywej aktualizacji przeglądarki Chrome. Ta aktualizacja służy jako przynęta, aby zachęcić ofiary do zainstalowania narzędzia do zdalnej administracji znanego jako NetSupport Manager RAT. Osiąga się to poprzez użycie złośliwego kodu JavaScript. Chociaż stosowanie oszukańczej taktyki aktualizacji przeglądarki przypomina SocGholish (znanego również jako FakeUpdates), rozstrzygające dowody łączące te dwie aktywności pozostają nieuchwytne.