Qrypter：一款被忽視但仍影響全球數百個組織的遠控木馬

「用指尖改變世界」

當談到跨平台後門時，我們首先想到的可能就是Adwind。它是一種跨平台且兼具多種功能的遠控木馬(RAT)，可以運行在任何支持 Java 平台的環境中，能夠通過後門進入到受害者的計算機中，並進行數據竊取和遠程控制。

然而，安全公司Forcepoint發現，在過去的兩年里，一個自稱「QUA R&D」的黑客組織一直在忙於開發和改進類似的惡意軟體即服務(Malware-as-a-Service，MaaS)平台，以至於他們現在已經成為了Adwind的主要競爭對手。

實際上，QUA R&D開發的惡意軟體產品一直在以「Qrypter」的名稱進行銷售，但常常被安全社區誤認為是Adwind。

在2016年3月首次被推出的Qrypter，也被稱為Qarallax、Quaverse、QRAT或者Qontroller。它是一種是基於Java開發的遠控木馬，使用基於洋蔥(TOR)網路的命令和控制(C&C)伺服器。

Qrypter在2016年6月首次遭到披露，當時正被用於針對在瑞士申請美國簽證的個人發起攻擊。而現在Forcepoint的調查證實，Qrypter仍在繼續活躍並一直在被升級改造，通常通過惡意電子郵件分發活動進行傳播。

用於傳播Qrypter的惡意電子郵件分發活動通常表現為一些小規模攻擊，攻擊者每次只會發送幾百封電子郵件。但規模的大小並不能決定危害程度的高低，事實證明在全球範圍內已經有許多組織都受到了這些攻擊的影響。

根據Forcepoint公司安全研究團隊的說法，他們在今年2月份共發現了三起與Qrypter相關的惡意攻擊活動，至少有243個組織因此受到影響。

在受害者系統上執行時，Qrypter首先會在%Temp%文件夾中放置並運行兩個VBS腳本文件，文件採用隨機文件名，旨在收集安裝在計算機上的防火牆和防病毒產品的信息。

然後，Qrypter將在%Temp%文件夾中放置並運行一個.REG文件，文件同樣採用隨機文件名。這個文件被用於降低系統的整體安全設置，並阻止包含在其預置列表中的執行取證和安全相關的進程。

此外，Qrypter還將刪除自身的一個副本並創建以下註冊表作為自動啟動機制。

研究人員表示，Qrypter是一個基於插件的後門，它為攻擊者提供了多種惡意操作功能：遠程桌面連接、攝像頭訪問、文件系統操作、附加文件的安裝以及任務管理器控制。

與Adwind類似，Qrypter也具備一套完善的商業模式。它以每月80美元的價格進行出租，並允許顧客使用PerfectMoney、Bitcoin-Cash或Bitcoin進行支付。另外，顧客還可以通過一次性支付三個月或一年的費用，以此來獲得折扣。

據了解，QUA R&D所使用的其中一個比特幣錢包地址目前總共收到了1.69個比特幣，大約價值為16,500美元。當然，QUA R&D不可能僅使用一個加密貨幣錢包，它所獲取到的總收入肯定會更高。

為了向顧客提供支持，QUA R&D還開展了一個名為「黑人與白人(Black&White Guys)」的論壇，用於討論與Qrypter MaaS相關的任何事情。根據論壇顯示的信息，目前該論壇擁有超過2,325名註冊會員。

值得注意的是，破解競爭對手的產品似乎也是QUA R&D銷售策略的一個組成部分。Forcepoint公司表示，QUA R&D的這種做法會讓任何人都能夠免費獲取到有效的惡意軟體，從而使惡意軟體的利用率以及網路犯罪的發生率大大提高。

本文由黑客視界綜合網路整理，圖片源自網路;轉載請註明「轉自黑客視界」，並附上鏈接。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！