Troyano QwixxRAT vendido a través de Telegram y Discord – Hacker

Se ha descubierto un nuevo troyano de acceso remoto (RAT) y se vende a través de Telegram y Discord. El acceso a QwixxRAT se ofrece por solo 150 rublos por semana y 500 rublos por una licencia de por vida, y el malware también tiene una versión gratuita limitada.

Analistas uptycs escriben que en las máquinas que ejecutan Windows, QwixxRAT puede robar datos confidenciales, que luego se transfieren al bot de Telegram de los ciberdelincuentes.

Según los investigadores, RAT es una solución “bien diseñada” para recopilar datos como el historial del navegador, marcadores, cookies, información de tarjetas bancarias, así como registro de teclas, capturas de pantalla, archivos que coinciden con ciertas extensiones y datos de tales aplicaciones, como Steam. y Telegrama.

El binario de malware se basa en C# y QwixxRAT tiene varias características que le permiten pasar desapercibido y evitar la detección. Por ejemplo, el malware puede “dormir” para retrasar el proceso de ejecución, así como realizar comprobaciones para determinar si se está ejecutando en un entorno de pruebas o virtual.

Además, QwixxRAT puede monitorear una lista específica de procesos (como taskmgr, processhacker, netstat, netmon, tcpview y wireshark), al detectar los cuales detiene su actividad hasta que finaliza el proceso peligroso.

También se observa que QwixxRAT tiene un clipper incorporado que obtiene acceso silencioso a información confidencial en el portapapeles del dispositivo y, gracias a esto, el malware puede transferir criptomonedas a las billeteras de los atacantes.

Como se mencionó anteriormente, el malware se controla a través del bot de Telegram, que envía comandos al malware para recopilar datos adicionales (por ejemplo, grabar audio o video desde una cámara web) e incluso puede usarse para apagar o reiniciar de forma remota el host infectado.