基於插件的遠控木馬！Qrypter席捲全球兩百餘家機構

E安全3月16日訊 安全廠商 Forcepoint 公司表示，其安全研究人員在2018年2月觀察到的三起 Qrypter 遠程訪問木馬（簡稱RAT）相關活動，總計影響到243家組織機構。

Qrypter 是基於Java 的 RAT

Qrypter 已經存在多年，常被誤認為 Adwind 跨平台後門的惡意軟體，但實際上則是是一款基於Java 的 RAT，其幕後黑手為名叫「QUA R&D」的地下組織，該組織專門提供惡意軟體即服務類平台。

Qrypter，也被稱為Qarallax、Quaverse、QRAT以及Qotroller。

Forcepoint 公司表示，Qrypter採用基於 TOR 的命令與控制（簡稱C&C）伺服器，2016年6月被首次發現，在此之後曾被用於針對申請美國簽證的瑞士民眾實施攻擊。該惡意軟體通常通過惡意廣告郵件進行交付，且每一波郵件傳播一般只發送數百條消息，而且 Qrypter 的影響一直在不斷擴大。

在受害者系統上運行時，Qrypter 會在 %Temp% 文件夾當中投放並運行兩個 VBS 文件，且二者使用隨機文件名。這兩套腳本負責收集安裝在目標計算機上的防火牆與反病毒產品信息。

Qrypter 是一套基於插件的後門，能夠為攻擊者提供廣泛的功能，具體包括遠程桌面連接、攝像頭訪問、文件系統操作、附加文件安裝以及任務管理控制等等。

QUA R&D組織黑市「Qrypter」服務火熱

Qrypter 目前的出租價格為80美元，可通過完美幣、比特現金或比特幣形式支付。其賣家（該惡意軟體的開發者：QUA R&D）表示：有興趣的買家還能夠以折扣價格購買三個月或者一年期訂閱服務。

與 Qrypter 訂閱支付相關的舊有比特幣地址似乎總計收到1.69比特幣（截至本文發稿時，約摺合13500美元）。然而，這還只是該惡意軟體作者所使用的地址之一，其實際收入可能遠高於此。

Qrypter的粉絲有2300人之多

該惡意軟體的開發者還通過「Black&White Guys」論壇為其客戶提供支持服務，目前此論壇擁有超過2300位註冊成員。根據該論壇的內容，研究人員們得以發現 QUA R&D 的活動軌跡，該集團似乎非常關注客戶的滿意度，而且會定期發布通知並向用戶保證所購買的加密服務（價格為5美元）能夠完全迴避反病毒解決方案的檢測。

Forcepoint 公司指出，「確保產品徹底迴避安全檢測已經成為該集團的主要工作內容之一。這可能也解釋了為什麼在近兩年，Qrypter 仍然幾乎沒有得到反病毒解決方案供應商的重視。」

除了與客戶交互之外，該論壇還負責吸引更多潛在經銷商。這些經銷商將獲得折扣碼以幫助 Qrypter 提高自身在地下圈子中的知名度。此外，其還將該 RAT 的早期版本免費提供給客戶。再有，QUA R&D 也通過破解競爭對手產品，散布競爭對手 FUD（即恐怖、不確定性與懷疑）言論的方式進行業務推廣。

Forcepoint 公司總結稱，「雖然 Qrypter MaaS 相對便宜，但 QUA R&D 偶爾會發布針對競爭對手產品的破解方案，這可能顯著提高犯罪軟體的免費使用機率，最終導致攻擊活動成倍增加。」

註：本文由E安全編譯報道,轉載請註明原文地址

https://www.easyaq.com/news/1008225095.shtml

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！