Вредоносное ПО QwixxRAT распространяется через платформы обмена сообщениями

Недавно представленный троян удаленного доступа (RAT) под названием QwixxRAT продвигается для покупки злоумышленником через платформы Telegram и Discord.

После имплантации на компьютеры Windows, принадлежащие жертвам, RAT незаметно собирает конфиденциальную информацию. Затем эти данные передаются боту Telegram злоумышленника, что позволяет им получить несанкционированный доступ к конфиденциальным данным жертвы, как указано в недавнем отчете Uptycs.

Uptycs, фирма по кибербезопасности, обнаружившая вредоносное ПО ранее в этом месяце, заявила, что QwixxRAT замысловато спроектирован для извлечения различных типов данных. Это включает в себя историю веб-браузера, закладки, файлы cookie, данные кредитной карты, нажатия клавиш, снимки экрана, определенные типы файлов и информацию из таких приложений, как Steam и Telegram.

RAT можно приобрести по цене 150 рублей за подписку на недельный доступ или 500 рублей за пожизненную лицензию. Существует также ограниченная бесплатная версия инструмента.

Характеристики QwixxRAT

Разработанный с использованием языка программирования C#, QwixxRAT включает в себя несколько механизмов антианализа, чтобы сохранить свою скрытую природу и избежать обнаружения. Эти тактики включают в себя функцию сна, чтобы ввести задержки во время выполнения, и проверки, чтобы установить, работает ли он в песочнице или виртуализированной среде.

Дополнительные возможности RAT позволяют отслеживать предопределенный список процессов (таких как «taskmgr», «processhacker», «netstat», «netmon», «tcpview» и «wireshark»). Если какой-либо из этих процессов обнаружен, RAT приостанавливает свою работу до тех пор, пока процесс не будет завершен. QwixxRAT также содержит функцию клиппера, которая тайно получает доступ к конфиденциальной информации, скопированной в буфер обмена устройства, с целью облегчения несанкционированных переводов из криптовалютных кошельков.

Связь с центром управления (Ц2) осуществляется через Telegram-бота. Этот механизм позволяет передавать команды для выполнения дополнительных действий по сбору данных, включая аудиозаписи и записи с веб-камеры, и даже удаленное отключение или перезапуск зараженного хоста.

Раскрытие QwixxRAT произошло вскоре после того, как Cyberint раскрыла информацию о двух других вариантах RAT, названных RevolutionRAT и Venom Control RAT. Эти RAT также рекламируются на различных каналах Telegram и обладают функциями для кражи данных и соединений для управления и контроля.

Это разоблачение последовало за выявлением продолжающейся кибер-кампании, в ходе которой используются скомпрометированные веб-сайты для распространения поддельного обновления браузера Chrome. Это обновление служит приманкой, чтобы побудить жертв установить инструмент удаленного администрирования, известный как NetSupport Manager RAT. Это достигается за счет использования вредоносного кода JavaScript. Хотя использование обманной тактики обновления браузера напоминает SocGholish (также известную как FakeUpdates), убедительные доказательства связи этих двух действий остаются неуловимыми.