Odată instalat pe mașinile cu sistem de operare Windows ale victimelor, RAT-ul colectează în secret date sensibile, pe care le trimite bot-ului Telegram al atacatorului, oferindu-le acces neautorizat la informațiile sensibile ale victimelor", a declarat Uptycs într-un nou raport publicat astăzi.
Compania de securitate cibernetică, care a descoperit malware-ul la începutul acestui an, a spus că acesta este "meticulos proiectat" pentru a colecta istoricul browserului web, semnele de carte, cookie-urile, informațiile despre cardurile de credit, tastele apăsate, capturile de ecran, fișierele cu anumite extensii și date din aplicații precum Steam și Telegram.
Instrumentul este oferit pentru 150 de ruble pentru acces săptămânal și 500 de ruble pentru o licență pe viață. Există și o versiune gratuită limitată.
Un binar bazat pe C#, QwixxRAT vine cu diverse caracteristici anti-analiză pentru a rămâne ascuns și a evita detectarea. Acestea includ o funcție de așteptare pentru a introduce o întârziere în procesul de execuție, precum și verificări pentru a determina dacă rulează într-un mediu sandbox sau virtual.
Alte funcții îi permit să monitorizeze o listă specifică de procese (de exemplu, "taskmgr", "processhacker", "netstat", "netmon", "tcpview" și "wireshark"), iar dacă sunt detectate, să își oprească propria activitate până când procesul este întrerupt.
De asemenea, QwixxRAT include un clipper care accesează în mod discret informațiile sensibile copiate în clipboardul dispozitivului, cu scopul de a efectua transferuri ilicite de fonduri din portofelele de criptomonede.
Comanda și controlul (C2) sunt facilitate prin intermediul unui bot Telegram, prin intermediul căruia sunt trimise comenzi pentru a efectua colectarea suplimentară a datelor, cum ar fi înregistrările audio și video, precum și pentru a opri sau reporni la distanță gazda infectată.
Acestă dezvăluire vine la câteva săptămâni după ce Cyberint a dezvăluit detalii despre două alte tulpini RAT denumite RevolutionRAT și Venom Control RAT, care sunt, de asemenea, promovate pe diverse canale Telegram, având funcționalități de exfiltrare a datelor și conectivitate C2.
De asemenea, vine în urma descoperirii unei campanii în curs care folosește site-uri compromise ca platforme de lansare pentru a prezenta o falsă actualizare a browserului web Chrome pentru a atrage victimele să instaleze o unealtă software de administrare la distanță numită NetSupport Manager RAT, prin intermediul unui cod JavaScript malițios.