QwixxRAT 멀웨어

QwixxRAT이라는 새로 등장한 RAT(원격 액세스 트로이 목마)는 Telegram 및 Discord와 같은 플랫폼에서 초점이 맞지 않는 개발자에 의해 판매를 홍보하고 있습니다. QwixxRAT가 대상 피해자의 Windows 기반 장치에 이식되면 조용히 작동하여 대량의 민감한 정보를 수집합니다. 획득한 데이터는 공격자의 텔레그램 봇으로 전송되어 피해자의 기밀 세부 정보에 대한 무단 액세스 권한을 부여합니다.

위협은 다양한 유형의 데이터를 세심하게 수집하도록 복잡하게 만들어졌습니다. 여기에는 웹 브라우저 기록, 북마크, 쿠키, 신용 카드 정보, 키 입력, 스크린샷, 특정 확장자를 가진 파일, Steam 및 Telegram과 같은 애플리케이션의 정보가 포함됩니다. 이 툴킷은 주간 구독의 경우 150루블, 평생 라이선스의 경우 500루블의 가격으로 사이버 범죄자에게 제공됩니다. 또한 제한된 무료 버전의 툴킷도 제공되고 있습니다.

QwixxRAT 맬웨어에서 관찰된 위협 기능

C# 프로그래밍 언어를 기반으로 구축된 QwixxRAT에는 다양한 안티 분석 메커니즘이 탑재되어 있습니다. 분석에 따르면 이 위협은 은폐된 상태로 유지되고 피해자의 장치 내부에 들어가면 탐지되지 않도록 신중하게 설계되었습니다. 이러한 조치에는 실행 지연을 도입하기 위한 절전 기능 사용과 샌드박스 또는 가상 환경 내에서 작동하는지 여부를 식별하기 위한 평가 수행이 포함됩니다.

또한 QwixxRAT는 'taskmgr', 'processhacker', 'netstat', 'netmon', 'tcpview' 및 'wireshark'를 포함하는 사전 정의된 프로세스 목록에 대한 모니터링과 같은 추가 기능을 보유하고 있습니다. 이러한 프로세스가 감지되면 QwixxRAT는 식별된 프로세스가 종료될 때까지 자체 활동을 일시 중단합니다.

또한 QwixxRAT는 장치의 클립보드에 저장된 민감한 데이터에 신중하게 액세스하는 클리퍼 기능을 제공합니다. 여기서 주된 의도는 암호화폐 지갑에서 무단 자금 이체를 수행하는 것입니다.

운영의 명령 및 제어(C2) 역할을 촉진하는 것은 명령을 내리는 통로 역할을 하는 텔레그램 봇입니다. 이러한 명령은 오디오 및 웹캠 세션 캡처, 손상된 호스트에서 원격 시작 종료 또는 다시 시작 명령과 같은 작업을 포함하여 추가 데이터 수집 작업을 트리거합니다.

RAT 위협의 피해자는 심각한 결과를 겪을 수 있습니다.

RAT(원격 액세스 트로이 목마) 감염은 권한이 없는 개인 또는 그룹에 피해자의 컴퓨터나 장치에 대한 원격 제어 권한을 부여하므로 심각하고 광범위한 결과를 초래할 수 있습니다. 이러한 수준의 무단 액세스는 여러 가지 위험한 결과를 초래할 수 있습니다.

• 데이터 도용 및 개인 정보 침해 : RAT는 암호, 신용 카드 세부 정보, 사회 보장 번호 및 개인 문서를 포함하여 민감한 개인 및 금융 정보를 빼낼 수 있습니다. 이러한 개인 정보 침해는 신원 도용, 금융 사기 및 기밀 정보 손상으로 이어질 수 있습니다.
• 재정적 손실 : 공격자는 RAT를 악용하여 온라인 뱅킹 계정, 암호화폐 지갑 및 기타 금융 서비스에 액세스할 수 있습니다. 그들은 피해자를 대신하여 승인되지 않은 거래를 수행하고, 자금을 모으고, 사기 행위를 수행하여 상당한 재정적 손실을 초래할 수 있습니다.
• 간첩 및 기업 간첩 : RAT는 산업 스파이 활동에 자주 사용됩니다. 공격자는 기업 네트워크에 침투하여 지적 재산, 영업 비밀, 독점 소프트웨어 및 민감한 사업 계획을 남용할 수 있습니다. 경쟁사 또는 외국 기업은 이러한 도난 정보를 사용하여 경쟁 우위를 확보하거나 국가 안보를 약화시킬 수 있습니다.
• 데이터 파괴 또는 랜섬웨어 : 일부 RAT는 랜섬웨어 또는 파괴적인 페이로드를 배포할 수 있습니다. 공격자는 귀중한 데이터를 암호화하거나 삭제하여 액세스할 수 없거나 영구적으로 손실될 수 있습니다. 그런 다음 데이터 복구를 위해 몸값을 요구하거나 민감한 정보를 노출하겠다고 위협할 수 있습니다.
• 봇넷 형성 : RAT는 공격자의 제어 하에 있는 손상된 장치의 네트워크인 봇넷을 생성하는 데 사용할 수 있습니다. 이러한 봇넷은 온라인 서비스를 방해하는 DDoS(Distributed Denial of Service) 공격을 비롯한 대규모 사이버 공격을 시작하는 데 사용될 수 있습니다.
• 맬웨어 전파 : RAT는 종종 추가 맬웨어 감염을 위한 관문 역할을 합니다. 공격자는 손상된 시스템을 사용하여 동일한 네트워크 내의 다른 장치에 맬웨어를 배포하여 잠재적으로 광범위하고 연쇄적인 감염으로 이어질 수 있습니다.
• 통제력 상실 : 공격자가 파일을 조작하고, 소프트웨어를 설치 또는 제거하고, 설정을 변경하고, 기기에 저장된 모든 정보에 액세스할 수 있으므로 피해자는 자신의 기기에 대한 통제권을 잃습니다. 이로 인해 폭력과 무력감이 생길 수 있습니다.

요약하면, RAT 감염은 개인, 기업, 심지어 사회 전반에 상당한 위험을 초래합니다. RAT 공격과 관련된 위험을 완화하기 위해 정기적인 소프트웨어 업데이트, 강력하고 고유한 암호 사용, 평판이 좋은 보안 소프트웨어 사용, 피싱 및 의심스러운 활동에 대한 경계 유지 등 강력한 사이버 보안 관행을 구현하는 것이 중요합니다.