QwixxRAT:通过 Telegram 和 Discord 出现的新远程访问木马
威胁行为者正在通过 Telegram 和 Discord 平台宣传销售一种名为QwixxRAT的新型远程访问木马 (RAT) 。
Uptycs 在今天发布的一份新报告中表示:“一旦安装在受害者的 Windows 平台计算机上,RAT 就会秘密收集敏感数据,然后将其发送到攻击者的 Telegram 机器人,从而使他们能够未经授权访问受害者的敏感信息。”
这家本月早些时候发现该恶意软件的网络安全公司表示,该恶意软件经过“精心设计”,旨在收集网络浏览器历史记录、书签、cookie、信用卡信息、击键、屏幕截图、与某些扩展名匹配的文件以及来自 Steam 和 Telegram 等应用程序的数据。
该工具的每周访问费用为 150 卢布,终身许可证费用为 500 卢布。它还提供有限的免费版本。
基于 AC# 的二进制文件 QwixxRAT 具有各种反分析功能,可保持隐蔽并逃避检测。这包括一个睡眠函数,用于在执行过程中引入延迟,以及运行检查以确定它是在沙箱还是虚拟环境中运行。
其他功能允许它监视特定的进程列表(例如,“taskmgr”、“processhacker”、“netstat”、“netmon”、“tcpview”和“wireshark”),如果检测到,则停止其自身的活动,直到该过程被终止。
QwixxRAT 中还包含一个剪辑器,它可以秘密访问复制到设备剪贴板的敏感信息,目的是从加密货币钱包进行非法资金转移。
命令与控制 (C2) 通过 Telegram 机器人实现,通过发送命令来执行其他数据收集,例如音频和网络摄像头录制,甚至远程关闭或重新启动受感染的主机。
几周前,Cyberint 披露了另外两种名为RevolutionRAT和Venom Control RAT的 RAT 的详细信息,这两种 RAT 也在各种 Telegram 频道上进行了广告,具有数据泄露和 C2 连接功能。
它还发现了一项正在进行的活动,该活动利用受感染的网站作为启动板,提供虚假的 Chrome 网络浏览器更新,以诱使受害者通过恶意 JavaScript 代码安装名为 NetSupport Manager RAT 的远程管理软件工具。
使用欺骗性浏览器更新诱饵是SocGholish(又名 FakeUpdates)的同义词,但连接这两组活动的明确证据仍然难以捉摸。
特雷利克斯说:“对现成 RAT 的滥用仍在继续,因为这些是强大的工具,能够满足对手进行攻击和实现其目标的需求。” “虽然这些 RAT 可能不会不断更新,但向潜在受害者提供这些有效负载的工具和技术将不断发展。”
本文来源于Lonely Blog -全球网络安全资讯平台, 转载请注明出处: https://blog.wuhao13.xin/7736.html
