Команда Uptycs Threat Research обнаружила QwixxRAT (он же Telegram RAT) в начале августа 2023 года. Угрожающий агент широко распространяет этот вредоносный инструмент через платформы Telegram и Discord.
После установки на компьютеры жертв под управлением Windows RAT незаметно собирает конфиденциальные данные, которые затем отправляются Telegram-боту злоумышленника, предоставляя ему несанкционированный доступ к конфиденциальной информации жертвы.
Чтобы избежать обнаружения антивирусным ПО, RAT использует командно-административный функционал через Telegram-бота. Это позволяет злоумышленнику удаленно контролировать RAT и управлять его работой.
QwixxRAT тщательно продуман для сбора обширной информации - от истории браузера и данных кредитных карт до сведений, полученных с помощью кейлоггинга.
Помимо простой кражи данных, QwixxRAT обладает мощными инструментами удаленного администрирования, позволяющими злоумышленникам контролировать устройства жертв, запускать команды и даже дестабилизировать работу систем. В этом блоге мы постараемся всесторонне рассмотреть его возможности, принципы работы и способы защиты от него.
Indicators of Compromise
URLs
- https://api.mylnikov.org/geolocation/wifi?bssid=
- https://raw.githubusercontent.com/LimerBoy/hackpy/master/modules/audio.zip
- https://raw.githubusercontent.com/LimerBoy/ToxicEye/master/TelegramRAT/TelegramRAT/core/libs/AudioSwitcher.AudioApi.CoreAudio].]dll
- https://raw.githubusercontent.com/LimerBoy/ToxicEye/master/TelegramRAT/TelegramRAT/core/libs/AudioSwitcher.AudioApi.dll
- https://raw.githubusercontent.com/tedburke.commandCam/master.commandCam.exe
MD5
- 46d6f885d323df5f00218da715239a7b