Шкідливе програмне забезпечення QwixxRAT

Щойно з’явився троян віддаленого доступу (RAT) під назвою QwixxRAT рекламується на продаж його погано орієнтованими розробниками на таких платформах, як Telegram і Discord. Після імплантації QwixxRAT у пристрої на базі Windows цільових жертв він працює безшумно, збираючи великі обсяги конфіденційної інформації. Потім отримані дані надсилаються до Telegram-бота зловмисника, надаючи йому несанкціонований доступ до конфіденційних даних жертви.

Загроза була складно розроблена для ретельного збору різних типів даних. Це включає історію веб-браузера, закладки, файли cookie, дані кредитної картки, натискання клавіш, знімки екрана, файли з певними розширеннями та інформацію з таких програм, як Steam і Telegram. Набір інструментів доступний кіберзлочинцям за ціною 150 рублів за тижневу підписку і 500 рублів за довічну ліцензію. Крім того, пропонується обмежена безкоштовна версія набору інструментів.

Загрозливі можливості, виявлені у шкідливому програмному забезпеченні QwixxRAT

QwixxRAT, побудований на мові програмування C#, оснащений різноманітними механізмами антианалізу. Згідно з аналізом, загроза ретельно розроблена, щоб залишатися прихованою та уникати виявлення, коли вона знаходиться всередині пристрою жертви. Ці заходи охоплюють використання функції сну для введення затримок виконання, а також проведення оцінок, щоб визначити, чи працює він у пісочниці чи віртуальному середовищі.

Крім того, QwixxRAT має додаткові можливості, як-от моніторинг попередньо визначеного списку процесів, який включає «taskmgr», «processhacker», «netstat», «netmon», «tcpview» і «wireshark». У разі виявлення будь-якого з цих процесів QwixxRAT призупиняє свою діяльність, доки ідентифікований процес не буде припинено.

Крім того, QwixxRAT має функцію кліпера, яка непомітно отримує доступ до конфіденційних даних, що зберігаються в буфері обміну пристрою. Основним наміром тут є здійснення несанкціонованих переказів коштів із гаманців криптовалюти.

Бот Telegram, який служить каналом для видачі команд, сприяє виконанню командно-контрольної ролі (C2). Ці команди запускають додаткові дії зі збору даних, зокрема такі завдання, як запис аудіо та сеансів веб-камери, і навіть віддалена ініціація команд завершення роботи або перезапуску на скомпрометованому хості.

Жертви загроз ЩУРІВ можуть зазнати серйозних наслідків

Зараження трояном віддаленого доступу (RAT) може мати серйозні та широкомасштабні наслідки, оскільки воно надає неавторизованим особам або групам дистанційний контроль над комп’ютером або пристроєм жертви. Такий рівень несанкціонованого доступу може призвести до багатьох небезпечних наслідків:

• Крадіжка даних і втручання в конфіденційність : ЩУРи можуть викрадати конфіденційну особисту та фінансову інформацію, включаючи паролі, дані кредитних карток, номери соціального страхування та особисті документи. Це порушення конфіденційності може призвести до крадіжки особистих даних, фінансового шахрайства та компрометації конфіденційної інформації.
• Фінансові втрати : зловмисники можуть використовувати RAT, щоб отримати доступ до онлайн-банківських рахунків, криптовалютних гаманців та інших фінансових послуг. Вони можуть здійснювати несанкціоновані транзакції, збирати кошти та вести шахрайські дії від імені жертви, що призводить до значних фінансових втрат.
• Шпигунство та корпоративне шпигунство : RATs часто використовуються для промислового шпигунства. Зловмисники можуть проникати в корпоративні мережі, привласнювати інтелектуальну власність, комерційну таємницю, приватне програмне забезпечення та конфіденційні бізнес-плани. Конкуренти або іноземні організації можуть використовувати цю викрадену інформацію, щоб отримати конкурентну перевагу або навіть підірвати національну безпеку.
• Знищення даних або програмне забезпечення-вимагач : деякі RATs здатні розгортати програмне забезпечення-вимагач або шкідливе програмне забезпечення. Зловмисники можуть зашифрувати або видалити цінні дані, зробивши їх недоступними або назавжди втраченими. Тоді вони можуть вимагати викуп за відновлення даних або погрожувати розкрити конфіденційну інформацію.
• Формування ботнетів : RAT можна використовувати для створення ботнетів, мереж скомпрометованих пристроїв під контролем зловмисника. Ці ботнети можна використовувати для запуску великомасштабних кібератак, включаючи атаки розподіленої відмови в обслуговуванні (DDoS), які порушують роботу онлайн-сервісів.
• Розповсюдження зловмисного програмного забезпечення : RAT часто служать шлюзом для подальшого зараження шкідливим програмним забезпеченням. Зловмисники можуть використовувати скомпрометовану систему для розповсюдження зловмисного програмного забезпечення на інші пристрої в одній мережі, що потенційно може призвести до масового та каскадного зараження.
• Втрата контролю : жертви втрачають контроль над власними пристроями, оскільки зловмисники можуть маніпулювати файлами, інсталювати або видаляти програмне забезпечення, змінювати налаштування та отримувати доступ до будь-якої інформації, що зберігається на пристрої. Це може призвести до відчуття образи та безпорадності.

Таким чином, інфекція RAT створює значні ризики для окремих осіб, підприємств і навіть суспільства в цілому. Для зменшення ризиків, пов’язаних з атаками RAT, надзвичайно важливо впроваджувати надійні методи кібербезпеки, включаючи регулярні оновлення програмного забезпечення, використання надійних унікальних паролів, використання перевіреного програмного забезпечення безпеки та пильність проти фішингу та підозрілих дій.