Malware QwixxRAT

Un nuovo Trojan di accesso remoto (RAT) emergente chiamato QwixxRAT viene promosso per la vendita dai suoi sviluppatori mal focalizzati su piattaforme come Telegram e Discord. Una volta impiantato nei dispositivi basati su Windows delle vittime prese di mira, QwixxRAT opera silenziosamente per raccogliere grandi quantità di informazioni sensibili. I dati acquisiti vengono quindi inviati al bot Telegram dell'attaccante, garantendogli l'accesso non autorizzato ai dettagli riservati della vittima.

La minaccia è stata elaborata in modo complesso per raccogliere meticolosamente vari tipi di dati. Ciò include cronologie del browser Web, segnalibri, cookie, dettagli della carta di credito, sequenze di tasti, schermate, file con estensioni specifiche e informazioni da applicazioni come Steam e Telegram. Il toolkit è disponibile per i criminali informatici a un prezzo di 150 rubli per un abbonamento settimanale e 500 rubli per una licenza a vita. Inoltre, viene offerta anche una versione gratuita limitata del toolkit.

Le capacità minacciose osservate nel malware QwixxRAT

QwixxRAT, basato sul linguaggio di programmazione C#, è dotato di diversi meccanismi anti-analisi. Secondo l'analisi, la minaccia è attentamente progettata per rimanere nascosta ed evitare il rilevamento una volta all'interno del dispositivo della vittima. Queste misure comprendono l'utilizzo di una funzione sleep per introdurre ritardi di esecuzione, oltre a condurre valutazioni per identificare se sta operando all'interno di una sandbox o di un ambiente virtuale.

Inoltre, QwixxRAT possiede funzionalità aggiuntive come il monitoraggio di un elenco predefinito di processi che include "taskmgr", "processhacker", "netstat", "netmon", "tcpview" e "wireshark". Qualora venga rilevato uno di questi processi, QwixxRAT sospende le proprie attività fino al termine del processo identificato.

Inoltre, QwixxRAT presenta una funzionalità clipper che accede in modo discreto ai dati sensibili archiviati negli appunti del dispositivo. L'intento principale qui è effettuare trasferimenti non autorizzati di fondi da portafogli di criptovaluta.

A facilitare il ruolo di comando e controllo (C2) delle operazioni è un bot di Telegram, che funge da canale per l'emissione di comandi. Questi comandi attivano azioni di raccolta dati supplementari, incluse attività come l'acquisizione di sessioni audio e webcam e persino l'avvio remoto di comandi di spegnimento o riavvio sull'host compromesso.

Le vittime delle minacce RAT possono subire gravi conseguenze

Un'infezione da Trojan ad accesso remoto (RAT) può avere conseguenze gravi e di vasta portata, poiché garantisce a individui o gruppi non autorizzati il controllo remoto sul computer o sul dispositivo di una vittima. Questo livello di accesso non autorizzato può portare a una moltitudine di risultati pericolosi:

• • Furto di dati e invasione della privacy : i RAT possono esfiltrare informazioni personali e finanziarie sensibili, tra cui password, dettagli della carta di credito, numeri di previdenza sociale e documenti personali. Questa violazione della privacy può portare a furti di identità, frodi finanziarie e compromissione di informazioni riservate.

• • Perdita finanziaria : gli aggressori possono sfruttare i RAT per ottenere l'accesso a conti bancari online, portafogli di criptovalute e altri servizi finanziari. Possono eseguire transazioni non autorizzate, raccogliere fondi e condurre attività fraudolente per conto della vittima, con conseguenti perdite finanziarie sostanziali.

• • Spionaggio e spionaggio aziendale : i RAT sono spesso utilizzati per lo spionaggio industriale. Gli aggressori possono infiltrarsi nelle reti aziendali, appropriarsi indebitamente di proprietà intellettuale, segreti commerciali, software proprietario e piani aziendali sensibili. I concorrenti o le entità straniere potrebbero utilizzare queste informazioni rubate per ottenere un vantaggio competitivo o addirittura minare la sicurezza nazionale.

• • Distruzione dei dati o ransomware : alcuni RAT sono in grado di distribuire ransomware o payload distruttivi. Gli aggressori possono crittografare o eliminare dati preziosi, rendendoli inaccessibili o persi definitivamente. Potrebbero quindi richiedere un riscatto per il recupero dei dati o minacciare di esporre informazioni sensibili.

• • Formazione di botnet : i RAT possono essere utilizzati per creare botnet, reti di dispositivi compromessi sotto il controllo dell'aggressore. Queste botnet possono essere utilizzate per lanciare attacchi informatici su larga scala, inclusi attacchi DDoS (Distributed Denial of Service) che interrompono i servizi online.

• • Propagazione di malware : i RAT spesso fungono da gateway per ulteriori infezioni da malware. Gli aggressori possono utilizzare il sistema compromesso per distribuire malware ad altri dispositivi all'interno della stessa rete, portando potenzialmente a un'infezione diffusa ea cascata.

• • Perdita di controllo : le vittime perdono il controllo sui propri dispositivi, poiché gli aggressori possono manipolare file, installare o disinstallare software, modificare le impostazioni e accedere a qualsiasi informazione memorizzata sul dispositivo. Ciò può provocare una sensazione di violazione e impotenza.

In sintesi, un'infezione da RAT comporta rischi sostanziali per gli individui, le imprese e persino la società in generale. È fondamentale implementare solide pratiche di sicurezza informatica, inclusi aggiornamenti regolari del software, utilizzo di password complesse e univoche, utilizzo di software di sicurezza affidabile e vigilanza contro il phishing e le attività sospette per mitigare i rischi associati agli attacchi RAT.