Un nuevo troyano de acceso remoto (RAT) llamado QwixxRAT está siendo anunciado para la venta por su actor de amenazas a través de las plataformas Telegram y Discord.
“Una vez instalado en las máquinas de la plataforma Windows de la víctima, el RAT recopila sigilosamente datos confidenciales, que luego se envían al bot de Telegram del atacante, proporcionándoles acceso no autorizado a la información confidencial de la víctima”, dijo Uptycs en un nuevo informe publicado hoy.
La compañía de ciberseguridad, que descubrió el malware a principios de este mes, dijo que está “meticulosamente diseñado” para recopilar historiales de navegadores web, marcadores, cookies, información de tarjetas de crédito, pulsaciones de teclas, capturas de pantalla, archivos que coinciden con ciertas extensiones y datos de aplicaciones como Steam y Telegram.
La herramienta se ofrece por 150 rublos para el acceso semanal y 500 rublos para una licencia de por vida. También viene en una versión gratuita limitada.
Un binario basado en C #, QwixxRAT viene con varias características anti-análisis para permanecer encubierto y evadir la detección. Esto incluye una función de suspensión para introducir un retraso en el proceso de ejecución, así como comprobaciones de ejecución para determinar si está operando dentro de un entorno sandbox o virtual.
Otras funciones le permiten monitorear una lista específica de procesos (por ejemplo, “taskmgr”, “processhacker”, “netstat”, “netmon”, “tcpview” y “wireshark”), y si se detecta, detiene su propia actividad hasta que se termina el proceso.
También se incorpora en QwixxRAT un clipper que accede sigilosamente a información confidencial copiada al portapapeles del dispositivo con el objetivo de realizar transferencias ilícitas de fondos desde billeteras de criptomonedas.
El command and control (C2) se facilita mediante un bot de Telegram, a través del cual se envían comandos para llevar a cabo la recopilación de datos adicionales, como grabaciones de audio y cámara web e incluso apagar o reiniciar de forma remota el host infectado.
La revelación se produce semanas después de que Cyberint revelara detalles de otras dos cepas de RAT denominadas RevolutionRAT y Venom Control RAT que también se anuncian en varios canales de Telegram con exfiltración de datos y funciones de conectividad C2.
