Novi trojanac za daljinski pristup (RAT) pod nazivom QwixxRAT oglašava se na prodaju od strane njegovog hakera putem platformi Telegram i Discord.
“Kada je instaliran na Windows platformi žrtve, RAT krišom prikuplja osjetljive podatke, koji se zatim šalju hakerovom Telegram botu, pružajući im neovlašteni pristup osjetljivim informacijama žrtve”, navodi Uptycs u novom izvještaju objavljenom danas.
Kompanija za kibernetičku sigurnost, koja je otkrila maliciozni softver ranije ovog mjeseca, rekla je da je “pažljivo dizajniran” za prikupljanje istorije web pretraživača, bookmarka, kolačića, informacija o kreditnim karticama, pritisaka na tipke, snimaka ekrana, datoteka koje odgovaraju određenim ekstenzijama i podataka iz aplikacija kao što su Steam i Telegram.
Alat se nudi za 150 rublji za sedmični pristup i 500 rublji za doživotnu licencu. Također dolazi u ograničenoj besplatnoj verziji.
Baziran na C# binarnom sistemu, QwixxRAT dolazi sa raznim funkcijama anti-analize kako bi ostao prikriven i izbjegao otkrivanje. Ovo uključuje funkciju mirovanja za uvođenje kašnjenja u proces izvršenja, kao i pokretanje provjera kako bi se utvrdilo da li radi unutar sandbox-a ili virtualnog okruženja.
Druge funkcije mu omogućavaju da nadgleda određenu listu procesa (npr. “taskmgr”, “processhacker”, “netstat”, “netmon”, “tcpview” i “wireshark”), i ako se otkrije, zaustavlja vlastitu aktivnost dok se proces ne prekine.
Također je ugrađen u QwixxRAT kliper koji krišom pristupa osjetljivim informacijama kopiranim u međuspremnik uređaja s ciljem obavljanja nezakonitih transfera sredstava iz novčanika kriptovaluta.
Command-and-control (C2) je olakšano pomoću Telegram bota, preko kojeg se šalju komande za prikupljanje dodatnih podataka kao što su audio i web kamera snimanja, pa čak i daljinsko isključivanje ili ponovno pokretanje zaraženog hosta.
Otkrivanje dolazi nekoliko sedmica nakon što je Cyberint otkrio detalje o dva druga soja RAT-a nazvanih RevolutionRAT i Venom Control RAT koji se također oglašava na različitim Telegram kanalima sa eksfiltracijom podataka i C2 funkcijama povezivanja.
Takođe prati otkrivanje tekuće kampanje koja koristi kompromitovane sajtove kao lansirne podloge za predstavljanje lažnog ažuriranja Chrome veb pretraživača kako bi se žrtve podstakle da instaliraju softverski alat za udaljenu administraciju pod nazivom NetSupport Manager RAT pomoću malicioznog JavaScript koda.
Upotreba lažnog mamca za ažuriranje pretraživača je sinonim za SocGholish (aka FakeUpdates), ali konačni dokazi koji povezuju ova dva skupa aktivnosti ostaju nedostižni.
“Zloupotreba lako dostupnih RAT-ova se nastavlja jer su to moćni alati sposobni da zadovolje potrebe protivnika da izvedu svoje napade i postignu svoje ciljeve”, rekao je Trellix . “Iako se ovi RAT-ovi možda neće stalno ažurirati, alati i tehnike za isporuku ovih tereta potencijalnim žrtvama će nastaviti da se razvijaju.”
Izvor: The Hacker News