Un nuevo troyano de acceso remoto (RAT) llamado QwixxRAT está siendo anunciado para la venta por su actor de amenazas a través de las plataformas Telegram y Discord.
"Una vez instalado en las máquinas de plataforma Windows de la víctima, el RAT recopila sigilosamente datos sensibles, que luego son enviados al bot de Telegram del atacante, proporcionándoles acceso no autorizado a la información sensible de la víctima", dijo Uptycs en un nuevo informe publicado hoy.
La empresa de ciberseguridad, que descubrió el malware a principios de este mes, dijo que está "meticulosamente diseñado" para recopilar historiales de navegadores web, marcadores, cookies, información de tarjetas de crédito, pulsaciones de teclas, capturas de pantalla, archivos que coinciden con ciertas extensiones y datos de aplicaciones como Steam y Telegram.
La herramienta se ofrece por 150 rublos para acceso semanal y 500 rublos para una licencia de por vida. También está disponible en una versión gratuita limitada. Basado en C#, QwixxRAT viene con varias características de anti-análisis para mantenerse encubierto y evadir la detección. Esto incluye una función de suspensión para introducir un retraso en el proceso de ejecución, así como comprobaciones para determinar si está operando dentro de un entorno de sandbox o virtual.
Otras funciones le permiten monitorear una lista específica de procesos (por ejemplo, "taskmgr," "processhacker," "netstat," "netmon," "tcpview," y "wireshark"), y si se detecta alguno, detiene su propia actividad hasta que se termine el proceso. También incorpora en QwixxRAT un "clipper" que accede sigilosamente a información sensible copiada al portapapeles del dispositivo con el objetivo de realizar transferencias ilícitas de fondos desde billeteras de criptomonedas.
El control de comando y control (C2) se facilita mediante un bot de Telegram, a través del cual se envían comandos para llevar a cabo la recopilación adicional de datos, como grabaciones de audio y webcam e incluso apagar o reiniciar de manera remota el host infectado.
La divulgación llega semanas después de que Cyberint revelara detalles de otras dos cepas de RAT llamadas RevolutionRAT y Venom Control RAT, que también se anuncian en varios canales de Telegram con características de exfiltración de datos y conectividad C2.
¿Quieres saber más?
Comments