QwixxRAT: Nuevo troyano de acceso remoto emerge a través de Telegram y Discord

Un nuevo troyano de acceso remoto (RAT) llamado QwixxRAT está siendo anunciado para la venta por su actor de amenazas a través de las plataformas Telegram y Discord.

"Una vez instalado en las máquinas de la plataforma Windows de la víctima, el RAT recopila sigilosamente datos confidenciales, que luego se envían al bot de Telegram del atacante, proporcionándoles acceso no autorizado a la información confidencial de la víctima", dijo Uptycs en un nuevo informe publicado hoy.

La compañía de ciberseguridad, que descubrió el malware a principios de este mes, dijo que está "meticulosamente diseñado" para recopilar historiales de navegadores web, marcadores, cookies, información de tarjetas de crédito, pulsaciones de teclas, capturas de pantalla, archivos que coinciden con ciertas extensiones y datos de aplicaciones como Steam y Telegram.

La herramienta se ofrece por 150 rublos para el acceso semanal y 500 rublos para una licencia de por vida. También viene en una versión gratuita limitada.

Un binario basado en C #, QwixxRAT viene con varias características anti-análisis para permanecer encubierto y evadir la detección. Esto incluye una función de suspensión para introducir un retraso en el proceso de ejecución, así como comprobaciones de ejecución para determinar si está operando dentro de un entorno sandbox o virtual.

Otras funciones le permiten monitorear una lista específica de procesos (por ejemplo, "taskmgr", "processhacker", "netstat", "netmon", "tcpview" y "wireshark"), y si se detecta, detiene su propia actividad hasta que se termina el proceso.


También se incorpora en QwixxRAT un clipper que accede sigilosamente a información confidencial copiada al portapapeles del dispositivo con el objetivo de realizar transferencias ilícitas de fondos desde billeteras de criptomonedas.

El comando y control (C2) se facilita mediante un bot de Telegram, a través del cual se envían comandos para llevar a cabo la recopilación de datos adicionales, como grabaciones de audio y cámara web e incluso apagar o reiniciar de forma remota el host infectado.

La revelación se produce semanas después de que Cyberint revelara detalles de otras dos cepas de RAT denominadas RevolutionRAT y Venom Control RAT que también se anuncian en varios canales de Telegram con exfiltración de datos y funciones de conectividad C2.

También sigue el descubrimiento de una campaña en curso que emplea sitios comprometidos como plataformas de lanzamiento para presentar una actualización falsa del navegador web Chrome para atraer a las víctimas a instalar una herramienta de software de administración remota llamada NetSupport Manager RAT por medio de un código JavaScript malicioso.

El uso de un señuelo engañoso de actualización del navegador es sinónimo de SocGholish (también conocido como FakeUpdates), pero la evidencia definitiva que conecta los dos conjuntos de actividades sigue siendo difícil de alcanzar.

"El abuso de las RAT fácilmente disponibles continúa, ya que son herramientas poderosas capaces de satisfacer las necesidades de los adversarios para llevar a cabo sus ataques y lograr sus objetivos", dijo Trellix. "Si bien estas RAT pueden no actualizarse constantemente, las herramientas y técnicas para entregar estas cargas útiles a las víctimas potenciales continuarán evolucionando".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta