Un nuevo troyano de acceso remoto (RAT) llamado QwixxRAT está siendo anunciado para la venta por su actor de amenazas a través de las plataformas Telegram y Discord.
«Una vez instalada en las máquinas de la plataforma Windows de la víctima, la RAT recopila sigilosamente datos confidenciales, que luego se envían al bot de Telegram del atacante, brindándoles acceso no autorizado a la información confidencial de la víctima», dijo Uptycs en un nuevo informe publicado hoy .
La compañía de ciberseguridad, que descubrió el malware a principios de este mes, dijo que está «meticulosamente diseñado» para recopilar historiales de navegadores web, marcadores, cookies, información de tarjetas de crédito, pulsaciones de teclas, capturas de pantalla, archivos que coinciden con ciertas extensiones y datos de aplicaciones como Steam y Telegram.
La herramienta se ofrece por 150 rublos por acceso semanal y 500 rublos por una licencia de por vida. También viene en una versión gratuita limitada.
Binario basado en AC #, QwixxRAT viene con varias características anti-análisis para permanecer encubierto y evadir la detección. Esto incluye una función de suspensión para introducir un retraso en el proceso de ejecución, así como ejecutar comprobaciones para determinar si está operando dentro de un entorno de pruebas o virtual.
Otras funciones le permiten monitorear una lista específica de procesos (p. ej., «taskmgr», «processhacker», «netstat», «netmon», «tcpview» y «wireshark») y, si se detecta, detiene su propia actividad hasta que se da por terminado el proceso.
QwixxRAT también incorpora un clipper que accede sigilosamente a información confidencial copiada en el portapapeles del dispositivo con el objetivo de realizar transferencias ilícitas de fondos desde billeteras de criptomonedas.
El comando y control (C2) se facilita por medio de un bot de Telegram, a través del cual se envían comandos para llevar a cabo una recopilación de datos adicionales, como grabaciones de audio y cámara web, e incluso apagar o reiniciar de forma remota el host infectado.
La divulgación se produce semanas después de que Cyberint revelara detalles de otras dos cepas de RAT denominadas RevolutionRAT y Venom Control RAT que también se anuncian en varios canales de Telegram con exfiltración de datos y funciones de conectividad C2.
Fuente y redacción: thehackernews.com
