QwixxRAT 恶意软件通过消息平台传播

最近推出的一种名为 QwixxRAT 的远程访问木马 (RAT) 正在被其威胁行为者通过 Telegram 和 Discord 平台推广购买。

一旦植入受害者拥有的 Windows 计算机上，RAT 就会谨慎地收集敏感信息。然后，这些数据被传输到攻击者的 Telegram 机器人，使他们能够未经授权地访问受害者的机密数据，正如 Uptycs 最近的一份报告中所述。

本月早些时候识别出该恶意软件的网络安全公司 Uptycs 表示，QwixxRAT 的设计非常复杂，可以提取各种类型的数据。这包括网络浏览器历史记录、书签、cookie、信用卡详细信息、击键、屏幕截图、特定文件类型以及来自 Steam 和 Telegram 等应用程序的信息。

RAT 的购买价格为 150 卢布（每周访问订阅）或 500 卢布（终身许可证）。该工具还有一个有限的免费版本。

QwixxRAT 的特点

QwixxRAT 使用 C# 编程语言开发，结合了多种反分析机制，以保持其隐蔽性并逃避检测。这些策略包括一个睡眠函数，用于在执行过程中引入延迟，并检查以确定它是在沙箱还是虚拟化环境中运行。

RAT 的附加功能使其能够监视预定义的进程列表（例如“taskmgr”、“processhacker”、“netstat”、“netmon”、“tcpview”和“wireshark”）。如果检测到任何这些进程，RAT 就会暂停其操作，直到该进程终止。 QwixxRAT 还包含一个剪辑功能，可以秘密访问复制到设备剪贴板的敏感信息，目的是促进从加密货币钱包进行未经授权的转账。

与命令与控制 (C2) 中心的通信是通过 Telegram 机器人进行的。这种机制允许传输命令来执行额外的数据收集活动，包括音频和网络摄像头录音，甚至远程关闭或重新启动受感染的主机。

在 Cyberint 披露了另外两种 RAT 变体（名为 RevolutionRAT 和 Venom Control RAT）的信息后不久，QwixxRAT 就被曝光了。这些 RAT 还在各种 Telegram 频道上进行宣传，并具有数据泄露和命令与控制连接的功能。

这一揭露是在一项持续的网络活动被识别出来之后发生的，该活动利用受感染的网站来分发虚假的 Chrome 浏览器更新。此更新旨在诱骗受害者安装名为 NetSupport Manager RAT 的远程管理工具。这是通过使用恶意 JavaScript 代码来实现的。虽然使用欺骗性浏览器更新策略让人想起 SocGholish（也称为 FakeUpdates），但将这两种活动联系起来的确凿证据仍然难以捉摸。