Un nuevo troyano de acceso remoto, ‘QwixxRAT’, ha llamado la atención de los investigadores de seguridad porque apunta a sistemas Windows. Los actores maliciosos propagan el malware QwixxRAT, también conocido como “TelegramRAT”, a través de Telegram y Discord para infectar sistemas Windows.
QwixxRAT emerge como el último malware de Windows
En un artículo reciente del equipo de Uptycs Threat Research, los investigadores desarrollaron un malware para Windows descubierto recientemente, «QwixxRAT», que ejecuta campañas activas.
También llamado «TelegramRAT», el malware se propaga a través de plataformas de comunicación como Telegram y Discord, para infectar PC con Windows. Al llegar a los dispositivos de destino, el malware roba una amplia gama de datos de los sistemas de destino, también realiza registros de teclas y permite el acceso remoto explícito a los actores de amenazas.
Más concretamente, QwixxRAT es un binario compilado en C#, capaz de realizar diferentes funciones. Estas funciones permiten que el malware pase desapercibido como programa de CPU, evita ejecuciones duplicadas para evadir la detección, desarrolla una comunicación segura con los servidores, obtiene privilegios elevados (preferiblemente administrador) y escapa del sandboxing, VMware y otras medidas de seguridad. Además, la RAT también exhibe una capacidad de autodestrucción para evadir la detección.
Además, el malware también incluye otras características para garantizar la persistencia en el sistema de destino durante mucho tiempo sin activar ninguna alarma. Estos incluyen registro de teclas, monitoreo de procesos (detección de procesos en ejecución como «taskmgr» para detener las actividades de la red y evitar la detección hasta que finalice el proceso), captura de pantalla, extracción de información de inicio de sesión y robo de datos de correo electrónico y datos de Steam.
Además, el malware también se dirige a una amplia gama de navegadores web, incluidos navegadores seguros como Brave, Epic y Comodo, para robar información. Los datos específicos incluyen el historial del navegador, las credenciales almacenadas, las billeteras criptográficas y las credenciales FTP, marcadores, información de autocompletar, incluidos los detalles de la tarjeta de crédito, y más.
Además de robar información, el malware también funciona como un cortapelos para robar la información copiada en el portapapeles. Además, actúa como una potente herramienta espía, proporcionando acceso al micrófono y a la cámara del dispositivo.
El malware transmite toda la información robada a actores maliciosos a través de un canal de Telegram.
Tenga cuidado para evitar ataques de malware
Los investigadores publicaron la regla de detección YARA QwixxRAT que los usuarios pueden utilizar para proteger sus sistemas. Además, aconsejan a los usuarios que sean cautelosos implementando autenticación multifactor en cuentas importantes, protegiendo las cámaras web desconectándolas de Internet cuando están inactivas, monitoreando los extractos bancarios en busca de transacciones sospechosas y siendo cautelosos al interactuar con correos electrónicos no solicitados o sospechosos.
Háganos saber sus pensamientos en los comentarios.
