Phần mềm độc hại QwixxRAT

Một Trojan Truy cập Từ xa (RAT) mới nổi có tên QwixxRAT đang được các nhà phát triển thiếu tập trung của nó quảng cáo để bán trên các nền tảng như Telegram và Discord. Sau khi QwixxRAT được cấy vào thiết bị chạy Windows của các nạn nhân được nhắm mục tiêu, nó sẽ hoạt động âm thầm để thu thập một lượng lớn thông tin nhạy cảm. Dữ liệu thu được sau đó được gửi đến bot Telegram của kẻ tấn công, cấp cho chúng quyền truy cập trái phép vào các chi tiết bí mật của nạn nhân.

Mối đe dọa đã được chế tạo phức tạp để thu thập các loại dữ liệu khác nhau một cách tỉ mỉ. Điều này bao gồm lịch sử trình duyệt Web, dấu trang, cookie, chi tiết thẻ tín dụng, tổ hợp phím, ảnh chụp màn hình, tệp có phần mở rộng cụ thể và thông tin từ các ứng dụng như Steam và Telegram. Bộ công cụ có sẵn cho tội phạm mạng với mức giá 150 rúp cho đăng ký hàng tuần và 500 rúp cho giấy phép trọn đời. Hơn nữa, một phiên bản miễn phí có giới hạn của bộ công cụ cũng đang được cung cấp.

Khả năng đe dọa được quan sát thấy trong Phần mềm độc hại QwixxRAT

QwixxRAT, được xây dựng dựa trên ngôn ngữ lập trình C#, được trang bị các cơ chế chống phân tích đa dạng. Theo phân tích, mối đe dọa này được thiết kế cẩn thận để luôn được che giấu và tránh bị phát hiện khi đã ở trong thiết bị của nạn nhân. Các biện pháp này bao gồm việc sử dụng chức năng ngủ để đưa ra độ trễ thực thi, cũng như tiến hành đánh giá để xác định xem nó đang hoạt động trong hộp cát hay môi trường ảo.

Hơn nữa, QwixxRAT sở hữu các khả năng bổ sung như giám sát danh sách quy trình được xác định trước bao gồm 'taskmgr', 'processhacker', 'netstat', 'netmon', 'tcpview' và 'wireshark.' Nếu bất kỳ quy trình nào trong số này bị phát hiện, QwixxRAT sẽ tạm dừng các hoạt động của chính nó cho đến khi quy trình đã xác định bị chấm dứt.

Ngoài ra, QwixxRAT có chức năng clipper truy cập kín đáo vào dữ liệu nhạy cảm được lưu trữ trong khay nhớ tạm của thiết bị. Mục đích chính ở đây là thực hiện chuyển tiền trái phép từ ví tiền điện tử.

Tạo điều kiện thuận lợi cho vai trò Chỉ huy và Kiểm soát (C2) của các hoạt động là một bot Telegram, đóng vai trò là đường dẫn để đưa ra các lệnh. Các lệnh này kích hoạt các hành động thu thập dữ liệu bổ sung, bao gồm các tác vụ như ghi lại các phiên ghi âm và webcam và thậm chí khởi tạo các lệnh tắt hoặc khởi động lại từ xa trên máy chủ bị xâm nhập.

Nạn nhân của mối đe dọa RAT có thể phải chịu hậu quả nghiêm trọng

Việc lây nhiễm Trojan Truy cập Từ xa (RAT) có thể gây ra những hậu quả nghiêm trọng và trên phạm vi rộng, vì nó cấp cho các cá nhân hoặc nhóm trái phép quyền kiểm soát từ xa đối với máy tính hoặc thiết bị của nạn nhân. Mức độ truy cập trái phép này có thể dẫn đến vô số hậu quả nguy hiểm:

• • Trộm cắp dữ liệu và xâm phạm quyền riêng tư : RAT có thể đánh cắp thông tin tài chính và cá nhân nhạy cảm, bao gồm mật khẩu, chi tiết thẻ tín dụng, số an sinh xã hội và tài liệu cá nhân. Việc vi phạm quyền riêng tư này có thể dẫn đến hành vi trộm cắp danh tính, gian lận tài chính và xâm phạm thông tin bí mật.

• • Tổn thất tài chính : Những kẻ tấn công có thể khai thác RAT để có quyền truy cập vào tài khoản ngân hàng trực tuyến, ví tiền điện tử và các dịch vụ tài chính khác. Họ có thể thực hiện các giao dịch trái phép, thu tiền và thực hiện các hoạt động lừa đảo thay mặt nạn nhân, dẫn đến tổn thất tài chính đáng kể.

• • Hoạt động gián điệp và hoạt động gián điệp doanh nghiệp : RAT thường được sử dụng cho hoạt động gián điệp công nghiệp. Những kẻ tấn công có thể xâm nhập vào mạng công ty, chiếm đoạt tài sản trí tuệ, bí mật thương mại, phần mềm độc quyền và các kế hoạch kinh doanh nhạy cảm. Các đối thủ cạnh tranh hoặc tổ chức nước ngoài có thể sử dụng thông tin bị đánh cắp này để đạt được lợi thế cạnh tranh hoặc thậm chí làm suy yếu an ninh quốc gia.

• • Phá hủy dữ liệu hoặc Ransomware : Một số RAT có khả năng triển khai ransomware hoặc tải trọng phá hoại. Những kẻ tấn công có thể mã hóa hoặc xóa dữ liệu có giá trị, khiến dữ liệu đó không thể truy cập được hoặc bị mất vĩnh viễn. Sau đó, họ có thể yêu cầu một khoản tiền chuộc để khôi phục dữ liệu hoặc đe dọa tiết lộ thông tin nhạy cảm.

• • Hình thành botnet : RAT có thể được sử dụng để tạo botnet, mạng của các thiết bị bị xâm nhập dưới sự kiểm soát của kẻ tấn công. Các mạng botnet này có thể được sử dụng để khởi động các cuộc tấn công mạng quy mô lớn, bao gồm các cuộc tấn công từ chối dịch vụ phân tán (DDoS) làm gián đoạn các dịch vụ trực tuyến.

• • Tuyên truyền phần mềm độc hại : RAT thường đóng vai trò là cửa ngõ để lây nhiễm thêm phần mềm độc hại. Những kẻ tấn công có thể sử dụng hệ thống bị xâm nhập để phân phối phần mềm độc hại đến các thiết bị khác trong cùng một mạng, có khả năng dẫn đến lây nhiễm lan rộng và theo tầng.

• • Mất kiểm soát : Nạn nhân mất quyền kiểm soát thiết bị của chính họ, vì kẻ tấn công có thể thao túng tệp, cài đặt hoặc gỡ cài đặt phần mềm, thay đổi cài đặt và truy cập bất kỳ thông tin nào được lưu trữ trên thiết bị. Điều này có thể dẫn đến cảm giác bị xúc phạm và bất lực.

Tóm lại, nhiễm RAT gây rủi ro đáng kể cho các cá nhân, doanh nghiệp và thậm chí cả xã hội nói chung. Điều quan trọng là phải triển khai các biện pháp bảo mật mạng mạnh mẽ, bao gồm cập nhật phần mềm thường xuyên, sử dụng mật khẩu mạnh và duy nhất, sử dụng phần mềm bảo mật có uy tín và cảnh giác trước các hoạt động lừa đảo và đáng ngờ để giảm thiểu rủi ro liên quan đến các cuộc tấn công RAT.