top of page
  • Forfatters billedeThomas Pedersen

Nye QwixxRAT-trojaner bruger ukonventionel spredningsteknik

I begyndelsen af ​​august 2023 afslørede Uptycs Threat Research-teamet en ny cybersikkerhedstrussel, QwixxRAT, identificeret som en Remote Access Trojan (RAT), der markerer en betydelig opdagelse i verden af ​​digitale trusler.


Remote Access Trojan (RAT), QwixxRAT, Uptycs Threat Research, Malware, Cyberangreb, Windows, IT-sikkerhed

Denne trussel har fået opmærksomhed for sin unikke formeringsmetode. De ondsindede aktører, der er ansvarlige for QwixxRAT, har distribueret trojaneren gennem meget brugte kommunikationsplatforme, nemlig Telegram og Discord.


Kraftfulde fjernadministrative værktøjer


Efter at have infiltreret et offers Windows-baserede system, samler QwixxRAT stille og roligt følsomme data og sender dem til angriberens Telegram-bot. Ud over simpelt datatyveri kan denne trojaner prale af kraftfulde fjernadministrative værktøjer, der giver angribere kontrol over ofrede enheder, evnen til at udstede kommandoer og endda kapaciteten til at destabilisere systemer, som forklaret af Uptycs Threat Research-team.


For at undgå opdagelse udnytter RAT en Telegram-bot til dens kommando-og-kontrolfunktioner. Dette giver angriberen fjernstyringsfunktioner over RAT, hvilket gør det muligt at udføre operationer uden at udløse antivirus-alarmer. QwixxRATs indvirkning strækker sig over hele verden, tydeligt i vurderinger af kompromitterede systemer over hele kloden.


"Mens undersøgelser af dets oprindelse og primære mål er i gang, udgør QwixxRATs globale rækkevidde en betydelig trussel, der efterlader ingen bruger virkelig sikker" - Uptycs

Det, der er særligt foruroligende ved QwixxRAT, er dens komplekst designede arkitektur, der gør det muligt for den at høste en bred vifte af data, lige fra browserhistorier til kreditkortoplysninger og endda have keylogging-funktioner.


Fra et teknisk perspektiv er RAT-filen en kompileret binær skrevet i C#, der fungerer som en 32-bit eksekverbar fil, der er optimeret til CPU-operationer.


"Trusselsaktøren brugte to forskellige aliasser for denne samme Remote Access Trojan (RAT), kaldet 'Qwixx Rat' og 'TelegramRAT'," udtalte den tekniske analyse. "Den primære funktion omfatter i alt 19 diskrete operationer, der hver tjener et særskilt formål."


Uptycs-teamet afslørede også en konfigurationsfunktion i RAT, der styrer dets aktiviteter på målmaskinen. Denne funktion omfatter en række værdier, herunder booleaner, filtypenavne og forskellige datatyper, der dikterer RAT'ens adfærd og justeringer som svar på disse værdier.


Eksperter opfordrer til øjeblikkelig handling for at imødegå denne truende trussel. Anbefalinger omfatter årvågen overvågning af bank- og kreditkortudtog for alle uautoriserede transaktioner, anvendelse af robuste og unikke adgangskoder, muliggør tofaktorautentificering og udvis forsigtighed, når du håndterer uopfordrede e-mails.

bottom of page