Škodlivý softvér QwixxRAT

Novo vznikajúci trójsky kôň s vzdialeným prístupom (RAT) s názvom QwixxRAT je propagovaný na predaj jeho zle zameranými vývojármi na platformách ako Telegram a Discord. Akonáhle je QwixxRAT implantovaný do zariadení so systémom Windows cieľových obetí, funguje ticho a zbiera veľké množstvo citlivých informácií. Získané údaje sú potom odoslané útočníkovmu telegramovému botovi, ktorý im poskytne neoprávnený prístup k dôverným údajom obete.

Hrozba bola zložito vytvorená tak, aby starostlivo zhromažďovala rôzne typy údajov. To zahŕňa históriu webového prehliadača, záložky, súbory cookie, podrobnosti o kreditnej karte, stlačenia klávesov, snímky obrazovky, súbory so špecifickými príponami a informácie z aplikácií, ako sú Steam a Telegram. Súbor nástrojov je k dispozícii kyberzločincom za cenu 150 rubľov za týždenné predplatné a 500 rubľov za doživotnú licenciu. Okrem toho sa ponúka aj obmedzená bezplatná verzia súpravy nástrojov.

Ohrozujúce schopnosti pozorované v malvéri QwixxRAT

QwixxRAT, postavený na programovacom jazyku C#, je vybavený rôznymi antianalytickými mechanizmami. Podľa analýzy je hrozba starostlivo navrhnutá tak, aby zostala skrytá a zabránila jej odhaleniu, keď sa dostane do zariadenia obete. Tieto opatrenia zahŕňajú použitie funkcie spánku na zavedenie oneskorení vykonávania, ako aj vykonávanie hodnotení s cieľom zistiť, či funguje v prostredí sandbox alebo vo virtuálnom prostredí.

Okrem toho má QwixxRAT ďalšie funkcie, ako je monitorovanie preddefinovaného zoznamu procesov, ktoré zahŕňajú „taskmgr“, „processhacker“, „netstat“, „netmon“, „tcpview“ a „wireshark“. Ak sa zistí niektorý z týchto procesov, QwixxRAT pozastaví svoje vlastné aktivity, kým sa identifikovaný proces neukončí.

QwixxRAT navyše obsahuje funkciu orezávača, ktorá diskrétne pristupuje k citlivým údajom uloženým v schránke zariadenia. Primárnym zámerom je tu vykonávať neoprávnené prevody finančných prostriedkov z kryptomenových peňaženiek.

Úlohou príkazu a riadenia (C2) operácií je telegramový robot, ktorý slúži ako kanál na vydávanie príkazov. Tieto príkazy spúšťajú doplnkové akcie zhromažďovania údajov vrátane úloh, ako je zaznamenávanie relácií zvuku a webovej kamery a dokonca aj vzdialené spúšťanie príkazov na vypnutie alebo reštart na napadnutom hostiteľovi.

Obete hrozieb RAT môžu mať vážne následky

Infekcia trójskych koní so vzdialeným prístupom (RAT) môže mať vážne a rozsiahle následky, pretože umožňuje neautorizovaným jednotlivcom alebo skupinám vzdialenú kontrolu nad počítačom alebo zariadením obete. Táto úroveň neoprávneného prístupu môže viesť k množstvu nebezpečných výsledkov:

• • Krádež údajov a narušenie súkromia : RAT môžu preniknúť do citlivých osobných a finančných informácií vrátane hesiel, údajov o kreditných kartách, rodných čísel a osobných dokumentov. Toto porušenie súkromia môže viesť ku krádeži identity, finančným podvodom a ohrozeniu dôverných informácií.

• • Finančná strata : Útočníci môžu využiť RAT na získanie prístupu k online bankovým účtom, kryptomenovým peňaženkám a ďalším finančným službám. Môžu vykonávať neoprávnené transakcie, vyberať finančné prostriedky a vykonávať podvodné činnosti v mene obete, čo má za následok značné finančné straty.

• • Špionáž a firemná špionáž : RAT sa často používajú na priemyselnú špionáž. Útočníci môžu preniknúť do podnikových sietí, spreneveriť duševné vlastníctvo, obchodné tajomstvá, proprietárny softvér a citlivé obchodné plány. Konkurenti alebo zahraničné subjekty by mohli tieto ukradnuté informácie použiť na získanie konkurenčnej výhody alebo dokonca na podkopanie národnej bezpečnosti.

• • Zničenie údajov alebo ransomvér : Niektoré RAT sú schopné nasadiť ransomvér alebo deštruktívne užitočné zaťaženie. Útočníci môžu zašifrovať alebo vymazať cenné dáta, čím ich zneprístupnia alebo natrvalo stratia. Potom môžu požadovať výkupné za obnovu dát alebo hroziť prezradením citlivých informácií.

• • Tvorba botnetov : RAT môžu byť použité na vytváranie botnetov, sietí napadnutých zariadení pod kontrolou útočníka. Tieto botnety možno použiť na spustenie rozsiahlych kybernetických útokov vrátane útokov typu Distributed Denial of Service (DDoS), ktoré narúšajú online služby.

• • Šírenie malvéru : RAT často slúžia ako brána pre ďalšie infekcie škodlivého softvéru. Útočníci môžu použiť napadnutý systém na distribúciu malvéru do iných zariadení v rámci tej istej siete, čo môže viesť k rozsiahlej a kaskádovej infekcii.

• • Strata kontroly : Obete strácajú kontrolu nad svojimi vlastnými zariadeniami, pretože útočníci môžu manipulovať so súbormi, inštalovať alebo odinštalovať softvér, meniť nastavenia a pristupovať k akýmkoľvek informáciám uloženým v zariadení. To môže viesť k pocitu narušenia a bezmocnosti.

Stručne povedané, infekcia RAT predstavuje značné riziko pre jednotlivcov, podniky a dokonca aj spoločnosť ako celok. Je dôležité zaviesť robustné postupy kybernetickej bezpečnosti vrátane pravidelných aktualizácií softvéru, používania silných a jedinečných hesiel, používania renomovaného bezpečnostného softvéru a ostražitosti voči phishingu a podozrivým aktivitám na zmiernenie rizík spojených s útokmi RAT.