Malware QwixxRAT espalhado através de plataformas de mensagens

Um trojan de acesso remoto (RAT) recentemente introduzido chamado QwixxRAT está sendo promovido para compra por seu agente de ameaça por meio das plataformas Telegram e Discord.

Uma vez implantado nos computadores Windows das vítimas, o RAT coleta discretamente informações confidenciais. Esses dados são então transmitidos ao bot do Telegram do invasor, permitindo que eles obtenham acesso não autorizado aos dados confidenciais da vítima, conforme descrito em um relatório recente da Uptycs.

A Uptycs, uma empresa de segurança cibernética que identificou o malware no início deste mês, afirmou que o QwixxRAT foi projetado para extrair vários tipos de dados. Isso inclui históricos de navegadores da web, favoritos, cookies, detalhes de cartão de crédito, teclas digitadas, capturas de tela, tipos de arquivos específicos e informações de aplicativos como Steam e Telegram.

O RAT está disponível para compra por 150 rublos para uma assinatura de acesso semanal ou 500 rublos para uma licença vitalícia. Há também uma versão gratuita limitada da ferramenta.

Características do QwixxRAT

Desenvolvido usando a linguagem de programação C#, o QwixxRAT incorpora vários mecanismos anti-análise para manter sua natureza secreta e evitar a detecção. Essas táticas incluem uma função de suspensão para introduzir atrasos durante a execução e verificações para verificar se está sendo executado em uma caixa de areia ou em um ambiente virtualizado.

Recursos adicionais do RAT permitem que ele monitore uma lista predefinida de processos (como "taskmgr", "processhacker", "netstat", "netmon", "tcpview" e "wireshark"). Se algum desses processos for detectado, o RAT suspende suas operações até que o processo seja encerrado. O QwixxRAT também contém uma função de clipper que acessa sub-repticiamente informações confidenciais copiadas para a área de transferência do dispositivo, com a intenção de facilitar transferências não autorizadas de carteiras de criptomoedas.

A comunicação com a central de comando e controle (C2) é realizada por meio de um bot do Telegram. Esse mecanismo permite a transmissão de comandos para executar atividades adicionais de coleta de dados, incluindo gravações de áudio e webcam e até mesmo o desligamento ou reinicialização remota do host infectado.

A revelação do QwixxRAT vem logo após a Cyberint divulgar informações sobre duas outras variantes do RAT chamadas RevolutionRAT e Venom Control RAT. Esses RATs também são anunciados em vários canais do Telegram e possuem recursos para exfiltração de dados e conexões de comando e controle.

Esta revelação segue a identificação de uma campanha cibernética em andamento que emprega sites comprometidos para distribuir uma falsa atualização do navegador Chrome. Esta atualização serve como uma isca para induzir as vítimas a instalar uma ferramenta de administração remota conhecida como NetSupport Manager RAT. Isso é obtido por meio do uso de código JavaScript malicioso. Embora o uso de uma tática enganosa de atualização do navegador seja uma reminiscência do SocGholish (também conhecido como FakeUpdates), evidências conclusivas que ligam essas duas atividades permanecem indefinidas.