QwixxRAT 惡意軟件通過消息平台傳播

最近推出的一種名為 QwixxRAT 的遠程訪問木馬 (RAT) 正在被其威脅行為者通過 Telegram 和 Discord 平台推廣購買。

一旦植入受害者擁有的 Windows 計算機上，RAT 就會謹慎地收集敏感信息。然後，這些數據被傳輸到攻擊者的 Telegram 機器人，使他們能夠未經授權地訪問受害者的機密數據，正如 Uptycs 最近的一份報告中所述。

本月早些時候識別出該惡意軟件的網絡安全公司 Uptycs 表示，QwixxRAT 的設計非常複雜，可以提取各種類型的數據。這包括網絡瀏覽器歷史記錄、書籤、cookie、信用卡詳細信息、擊鍵、屏幕截圖、特定文件類型以及來自 Steam 和 Telegram 等應用程序的信息。

RAT 的購買價格為 150 盧布（每周訪問訂閱）或 500 盧布（終身許可證）。該工具還有一個有限的免費版本。

QwixxRAT 的特點

QwixxRAT 使用 C# 編程語言開發，結合了多種反分析機制，以保持其隱蔽性並逃避檢測。這些策略包括一個睡眠函數，用於在執行過程中引入延遲，並檢查以確定它是在沙箱還是虛擬化環境中運行。

RAT 的附加功能使其能夠監視預定義的進程列表（例如“taskmgr”、“processhacker”、“netstat”、“netmon”、“tcpview”和“wireshark”）。如果檢測到任何這些進程，RAT 就會暫停其操作，直到該進程終止。 QwixxRAT 還包含一個剪輯功能，可以秘密訪問複製到設備剪貼板的敏感信息，目的是促進從加密貨幣錢包進行未經授權的轉賬。

與命令與控制 (C2) 中心的通信是通過 Telegram 機器人進行的。這種機制允許傳輸命令來執行額外的數據收集活動，包括音頻和網絡攝像頭錄音，甚至遠程關閉或重新啟動受感染的主機。

在 Cyberint 披露了另外兩種 RAT 變體（名為 RevolutionRAT 和 Venom Control RAT）的信息後不久，QwixxRAT 就被曝光了。這些 RAT 還在各種 Telegram 頻道上進行宣傳，並具有數據洩露和命令與控制連接的功能。

這一揭露是在一項持續的網絡活動被識別出來之後發生的，該活動利用受感染的網站來分發虛假的 Chrome 瀏覽器更新。此更新旨在誘騙受害者安裝名為 NetSupport Manager RAT 的遠程管理工具。這是通過使用惡意 JavaScript 代碼來實現的。雖然使用欺騙性瀏覽器更新策略讓人想起 SocGholish（也稱為 FakeUpdates），但將這兩種活動聯繫起來的確鑿證據仍然難以捉摸。