QwixxRAT Malware sprids genom meddelandeplattformar

En nyligen introducerad fjärråtkomsttrojan (RAT) vid namn QwixxRAT marknadsförs för köp av dess hotaktör genom både Telegram- och Discord-plattformarna.

När RAT har implanterats på Windows-datorer som ägs av offer samlar RAT diskret in känslig information. Dessa data överförs sedan till angriparens Telegram-bot, vilket gör det möjligt för dem att få obehörig tillgång till offrets konfidentiella data, som beskrivs i en färsk rapport från Uptycs.

Uptycs, ett cybersäkerhetsföretag som identifierade skadlig programvara tidigare denna månad, uppgav att QwixxRAT är intrikat utformad för att extrahera olika typer av data. Detta inkluderar webbläsarhistorik, bokmärken, cookies, kreditkortsuppgifter, tangenttryckningar, skärmdumpar, specifika filtyper och information från applikationer som Steam och Telegram.

RAT är tillgänglig för köp för 150 rubel för ett veckoabonnemang eller 500 rubel för en livstidslicens. Det finns också en begränsad gratisversion av verktyget.

Egenskaper hos QwixxRAT

QwixxRAT har utvecklats med programmeringsspråket C# och innehåller flera antianalysmekanismer för att behålla sin hemliga natur och undvika upptäckt. Dessa taktiker inkluderar en vilofunktion för att introducera förseningar under körning och kontroller för att säkerställa om den körs i en sandlåda eller virtualiserad miljö.

Ytterligare funktioner hos RAT gör att den kan övervaka en fördefinierad lista med processer (som "takmgr", "processhacker", "netstat", "netmon", "tcpview" och "wireshark"). Om någon av dessa processer upptäcks, avbryter RAT sina operationer tills processen avslutas. QwixxRAT innehåller också en clipper-funktion som i smyg kommer åt känslig information som kopierats till enhetens urklipp, med avsikten att underlätta obehöriga överföringar från kryptovaluta-plånböcker.

Kommunikation med kommando- och kontrollcentralen (C2) utförs genom en Telegram-bot. Denna mekanism möjliggör överföring av kommandon för att utföra ytterligare datainsamlingsaktiviteter, inklusive ljud- och webbkamerainspelningar, och till och med fjärravstängning eller omstart av den infekterade värden.

Avslöjandet av QwixxRAT kommer kort efter att Cyberint avslöjat information om två andra RAT-varianter som heter RevolutionRAT och Venom Control RAT. Dessa RATs annonseras också på olika Telegram-kanaler och har funktioner för dataexfiltrering och kommando-och-kontroll-anslutningar.

Denna avslöjande följer identifieringen av en pågående cyberkampanj som använder intrångade webbplatser för att distribuera en falsk Chrome-webbläsaruppdatering. Den här uppdateringen fungerar som ett lockande för att locka offer att installera ett fjärradministrationsverktyg som kallas NetSupport Manager RAT. Detta uppnås genom användning av skadlig JavaScript-kod. Även om användningen av en vilseledande taktik för webbläsaruppdatering påminner om SocGholish (även känd som FakeUpdates), förblir avgörande bevis som länkar dessa två aktiviteter svårfångade.