QwixxRAT: Nuevo troyano de acceso remoto que se distribuye a través de Telegram y Discord

0

El nuevo troyano de acceso remoto QwixxRAT se distribuye a través de Telegram y Discord

El nuevo troyano de acceso remoto QwixxRAT se distribuye a través de Telegram y Discord

Un reciente troyano de acceso remoto (Remote Access Trojan, RAT) conocido como QwixxRAT está siendo promocionado para su venta por parte de su actor de amenazas a través de las plataformas de Telegram y Discord.

«Una vez que se instala en las computadoras con sistema operativo Windows de las víctimas, el RAT recopila de manera sigilosa datos sensibles, los cuales son posteriormente enviados al bot de Telegram del atacante, otorgándoles acceso no autorizado a la información confidencial de la víctima», reportó Uptycs en un nuevo informe publicado hoy.

La compañía de ciberseguridad, la cual descubrió el malware a principios de este mes, señala que ha sido «cuidadosamente diseñado» para recolectar historiales de navegación web, marcadores, cookies, información de tarjetas de crédito, pulsaciones de teclas, capturas de pantalla, archivos que tengan ciertas extensiones y datos de aplicaciones como Steam y Telegram.

Esta herramienta se ofrece por 150 rublos para acceder durante una semana y por 500 rublos para una licencia de por vida. También existe una versión gratuita y limitada disponible.

Desarrollado en C#, QwixxRAT cuenta con diversas características anti-análisis para mantenerse oculto y evadir la detección. Esto incluye una función de pausa para introducir un retraso en el proceso de ejecución, así como verificaciones para determinar si está funcionando dentro de un entorno de pruebas o virtual.

Otras funciones le permiten monitorear una lista específica de procesos (como «taskmgr», «processhacker», «netstat», «netmon», «tcpview» y «wireshark»), y si alguno de estos es detectado, detiene su propia actividad hasta que el proceso sea terminado.

También incluido en QwixxRAT se encuentra un clipper que de manera furtiva accede a información delicada que ha sido copiada al portapapeles del dispositivo, con el propósito de llevar a cabo transferencias de fondos ilícitas desde billeteras de criptomonedas.

La comunicación y el control (C2) se realizan a través de un bot en Telegram, mediante el cual se envían órdenes para llevar a cabo recopilación adicional de datos, como grabaciones de audio y video desde la cámara web, e incluso para apagar o reiniciar de forma remota el dispositivo infectado.

Esta revelación se produce semanas después de que Cyberint diera a conocer detalles de otras dos variantes de RAT llamadas RevolutionRAT y Venom Control RAT, las cuales también son anunciadas en varios canales de Telegram con características de extracción de datos y conectividad C2.


Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 661610005838513425 Nombre: Masterhacks LATAM Banco: Alternativos

Unete a nuestros grupos:
WhatsApp: https://chat.whatsapp.com/HcazyklpyeU4X3BF657KFQ
Telegram: https://t.me/masterhacks_net
Canal de WhatsApp https://whatsapp.com/channel/0029VaBBLCn5vKAH9NOWCl3K

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *