Основы Интернет - технологий.

Обнаружен новый троян удаленного доступа (RAT), который продается через Telegram и Discord. Доступ к QwixxRAT предлагается всего за 150 рублей в неделю и 500 рублей за пожизненную лицензию, а также вредонос имеет ограниченную бесплатную версию.

Аналитики Uptycs пишут, что ­на машинах под управлением Windows QwixxRAT может похищать конфиденциальные данные, которые затем передаются Telegram-боту злоумышленников.

По словам исследователей, RAT представляет собой «тщательно разработанное» решение для сбора таких данных, как история браузера, закладки, файлы cookie, информация о банковских картах, а также кейлоггинга, снимков экрана, файлов, соответствующих определенным расширениям, и данных из таких приложений, как Steam и Telegram.

Бинарник вредоноса основан на C#, и QwixxRAT обладает различными функциями, которые позволяют ему оставаться незамеченным и избегать обнаружения. Например, вредонос умеет «засыпать», чтобы задержать процесс выполнения, а также проводит проверки, чтобы определить, не работает ли он в песочнице или виртуальной среде.

Кроме того, QwixxRAT может отслеживать определенный список процессов (например, taskmgr, processhacker, netstat, netmon, tcpview и wireshark), при обнаружении которых он останавливает свою деятельность до тех пор, пока опасный процесс не будет завершен.

Также отмечается, что в QwixxRAT встроен клиппер, который незаметно получает доступ к конфиденциальной информации в буфере обмена устройства и, благодаря этому, малварь может осуществлять переводы криптовалюты в кошельки злоумышленников.

Как уже было упомянуто выше, управление малварью осуществляется через Telegram-бота, который отправляет вредоносу команды для сбора дополнительных данных (например, запись аудио или видео с веб-камеры) и может использоваться даже для удаленного отключения или перезапуска зараженного хоста.