行业新闻与博客

Uptycs 威胁研究团队于 2023 年 8 月上旬发现了一种名为 QwixxRAT 的新网络安全威胁，这是一种远程访问木马 (RAT)。

根据该团队周一发布的一份咨询报告，QwixxRAT 因其不寻常的分发方式而引起了人们的关注。其背后的威胁行为者正在通过流行的通信平台 Telegram 和 Discord 传播恶意工具。

一旦获得对受害者基于 Windows 的计算机的访问权限，QwixxRAT 就会谨慎地收集敏感数据，并将其发送给攻击者的 Telegram 机器人。

Uptycs 威胁研究解释道：“除了单纯的数据盗窃之外，QwixxRAT 还拥有强大的远程管理工具，使攻击者能够控制受害设备、启动命令甚至破坏系统稳定。”

为了逃避检测，RAT 使用 Telegram 机器人来执行命令和控制功能。这还允许攻击者远程管理 RAT 并执行操作，而不会触发防病毒警报。

QwixxRAT 的影响是全球性的，因为在对全球受感染系统的评估中已观察到其影响范围。 

“在最近对受感染系统的评估中，它的存在变得特别令人震惊，暗示其潜在的增长。虽然其起源和主要目标区域仍在调查中，但该木马的影响范围似乎是全球性的，没有让任何用户真正安全，” Uptycs 报告中写道。

特别令人不安的是 QwixxRAT 复杂的设计，这使得它能够收集广泛的数据，从浏览器历史记录到信用卡详细信息，甚至还包括键盘记录功能。

从技术角度来看，RAT 文件是 C# 编译的二进制文件，充当专为 CPU 操作而设计的 32 位可执行文件。

“威胁行为者对同一个远程访问木马 (RAT) 使用了两个不同的名称。使用的一个别名是“Qwixx Rat”，而另一个别名是“TelegramRAT”，”技术文章中写道。“主要功能总共由 19 个单独的功能组成，每个功能都有其独特的用途。”

该团队还在 RAT 中发现了一个配置功能，该功能控制其在目标机器上的操作。该函数包含一系列值，包括布尔值、文件扩展名和其他数据类型，指示 RAT 的行为和响应这些值的调整。

专家建议立即采取行动应对这一威胁。建议采取的一些预防措施包括定期监控银行和信用卡对账单是否存在未经授权的交易、使用强而独特的密码、启用双因素身份验证以及对未经请求的电子邮件保持警惕。