QwixxRAT 惡意軟件

一種名為 QwixxRAT 的新出現的遠程訪問木馬 (RAT) 正在由其不專心的開發人員在 Telegram 和 Discord 等平台上進行推廣銷售。一旦 QwixxRAT 被植入目標受害者的 Windows 設備中，它就會悄悄地收集大量敏感信息。然後，獲取的數據被發送到攻擊者的 Telegram 機器人，使他們能夠未經授權訪問受害者的機密詳細信息。

該威脅經過精心設計，旨在精心收集各種類型的數據。這包括網絡瀏覽器歷史記錄、書籤、cookie、信用卡詳細信息、擊鍵、屏幕截圖、具有特定擴展名的文件以及來自 Steam 和 Telegram 等應用程序的信息。該工具包可供網絡犯罪分子使用，每週訂閱價格為 150 盧布，終身許可證價格為 500 盧布。此外，還提供該工具包的有限免費版本。

在 QwixxRAT 惡意軟件中觀察到的威脅能力

QwixxRAT基於C#編程語言構建，配備了多種反分析機制。據分析，這種威脅經過精心設計，一旦進入受害者的設備，就可以保持隱蔽並避免被發現。這些措施包括使用睡眠功能來引入執行延遲，以及進行評估以確定它是在沙箱還是虛擬環境中運行。

此外，QwixxRAT 還擁有其他功能，例如監視預定義的進程列表，其中包括“taskmgr”、“processhacker”、“netstat”、“netmon”、“tcpview”和“wireshark”。如果檢測到任何這些進程，QwixxRAT 將暫停其自己的活動，直到識別的進程終止。

此外，QwixxRAT 還具有剪輯功能，可以謹慎地訪問存儲在設備剪貼板中的敏感數據。這裡的主要目的是從加密貨幣錢包中進行未經授權的資金轉移。

Telegram 機器人負責促進操作的命令與控制 (C2) 角色，充當發布命令的渠道。這些命令會觸發補充數據收集操作，包括捕獲音頻和網絡攝像頭會話等任務，甚至在受感染的主機上遠程啟動關閉或重新啟動命令。

RAT 威脅的受害者可能會遭受嚴重後果

遠程訪問特洛伊木馬 (RAT) 感染可能會造成嚴重且廣泛的後果，因為它允許未經授權的個人或團體遠程控制受害者的計算機或設備。這種級別的未經授權的訪問可能會導致多種危險結果：

• 數據盜竊和隱私入侵：RAT 可以洩露敏感的個人和財務信息，包括密碼、信用卡詳細信息、社會安全號碼和個人文檔。這種侵犯隱私的行為可能導致身份盜竊、財務欺詐和機密信息洩露。
• 財務損失：攻擊者可以利用 RAT 來訪問網上銀行賬戶、加密貨幣錢包和其他金融服務。他們可以代表受害者進行未經授權的交易、收集資金並進行欺詐活動，從而造成重大經濟損失。
• 間諜活動和企業間諜活動：RAT 經常用於工業間諜活動。攻擊者可以滲透企業網絡，盜用知識產權、商業秘密、專有軟件和敏感商業計劃。競爭對手或外國實體可能利用這些被盜信息來獲得競爭優勢，甚至破壞國家安全。
• 數據破壞或勒索軟件：某些 RAT 能夠部署勒索軟件或破壞性有效負載。攻擊者可以加密或刪除有價值的數據，使其無法訪問或永久丟失。然後他們可能會要求支付贖金以恢復數據或威脅要洩露敏感信息。
• 殭屍網絡形成：RAT 可用於創建殭屍網絡，即攻擊者控制下的受感染設備網絡。這些殭屍網絡可用於發起大規模網絡攻擊，包括破壞在線服務的分佈式拒絕服務 (DDoS) 攻擊。
• 惡意軟件的傳播：RAT 通常充當進一步惡意軟件感染的網關。攻擊者可以使用受損的系統將惡意軟件分發到同一網絡內的其他設備，從而可能導致廣泛的級聯感染。
• 失去控制：受害者失去了對自己設備的控制，因為攻擊者可以操縱文件、安裝或卸載軟件、更改設置以及訪問設備上存儲的任何信息。這可能會導致一種被侵犯和無助的感覺。

總之，RAT 感染給個人、企業甚至整個社會帶來巨大風險。實施強大的網絡安全實踐至關重要，包括定期軟件更新、使用強而獨特的密碼、採用信譽良好的安全軟件，並對網絡釣魚和可疑活動保持警惕，以降低與 RAT 攻擊相關的風險。