Sommario
Un nuovo trojan di accesso remoto (RAT) denominato QwixxRAT sta emergendo come una minaccia significativa. Questo malware viene attivamente promosso e venduto attraverso piattaforme come Telegram e Discord.
Funzionalità di QwixxRAT
Una volta installato sulle macchine Windows della vittima, QwixxRAT raccoglie in modo furtivo dati sensibili. Questi dati vengono poi inviati al bot Telegram dell’attaccante, fornendo loro un accesso non autorizzato alle informazioni sensibili della vittima.
Dettagli del malware
Uptycs, l’azienda di cybersecurity che ha scoperto il malware all’inizio del mese, ha rivelato che QwixxRAT è “meticolosamente progettato” per raccogliere cronologie dei browser, segnalibri, cookie, informazioni sulle carte di credito, battiture, screenshot, file con determinate estensioni e dati da applicazioni come Steam e Telegram.
Costo e versioni di QwixxRAT
Il tool viene offerto a 150 rubli per l’accesso settimanale e 500 rubli per una licenza a vita. È disponibile anche una versione gratuita limitata.
Caratteristiche tecniche di QwixxRAT
QwixxRAT, basato su un binario C#, presenta diverse funzioni anti-analisi per rimanere nascosto ed evitare il rilevamento. Questo include una funzione di sleep per introdurre un ritardo nel processo di esecuzione e controlli per determinare se sta operando all’interno di un ambiente sandbox o virtuale.
Monitoraggio e funzioni di QwixxRAT
Il RAT può monitorare una lista specifica di processi e, se rilevati, interrompe la propria attività fino alla terminazione del processo. Incorpora anche un clipper che accede in modo furtivo alle informazioni sensibili copiate negli appunti del dispositivo.
Comando e controllo tramite Telegram
Il comando e il controllo (C2) sono facilitati tramite un bot Telegram, attraverso il quale vengono inviati comandi per effettuare ulteriori raccolte di dati, come registrazioni audio e webcam, e persino per spegnere o riavviare l’host infetto.
Altri RAT correlati
La rivelazione arriva poche settimane dopo che Cyberint ha divulgato dettagli su altri due ceppi di RAT, RevolutionRAT e Venom Control RAT, anch’essi pubblicizzati su vari canali Telegram.
