Forcepoint 公司指出,全球数百家组织机构遭到一系列用 Qrypter 远程访问木马 (RAT) 的攻击。
首次现身于2016年
这款恶意软件常被误认为 Adwind 跨平台后门,已存在多年,是由地下组织 “QUA R&D” 开发的,这个组织提供了一个恶意软件即服务 (MaaS) 平台。
Qrypter 又被称为 “Qarallax”、”Quaverse”、”QRAT” 和 “Qontroller”,它是一种基于 Java 的 RAT,利用基于 TOR 的命令和控制服务器。它首次于2016年6月被详细披露,当时的攻击目标主要针对申请美国签证的瑞士人。
Qrypter 恶意软件一般是通过恶意邮件活动传播的,这些恶意邮件活动仅包含数百份信息。然而,Qrypter 持续不断地现身,2018年2月出现了三起和 Qrypter 相关的活动,共有243 家组织机构受影响。
在受害者系统上执行后,Qrypter 在 %Temp% 文件夹中释放并运行两个 VBS 文件,每个文件中都包含一个随机文件名称。这两个脚本旨在收集安装在计算机上的防火墙和反病毒产品信息。
通过论坛提供技术支持,能躲避所有反病毒检测
Qrypter 的租赁价格是80美元,接受 PerfectMoney、比特币现金 (BCC) 或比特币。感兴趣的买家如购买三个月或一年的服务可享受优惠价。
和 Qrypter 服务支付相关的老旧比特币地址似乎共收到1.69个比特币(折合1.35万美元)。然而,这只是恶意软件作者使用的其中一个地址,也就是说他们的收入可能更高。
Qrypter 恶意软件开发人员通过名为“黑白人 (Black&White Guys)”的论坛向客户提供支持,该论坛目前的注册用户超过2300人。
研究人员从这个论坛的内容中发现了 QUA R&D 的运作方式。该组织的目的似乎是让客户开心,并且经常给用户发消息向客户确保他们的加密服务(5美元)可完全躲避反病毒供应商的检测。
Forcepoint 公司指出,“确实保证自己的产品完全无法被检测到是该组织的主要优势,而且也解释了为何近两年之后 Qrypter 仍然基本无法被反病毒供应商检测到。”
除了和客户交互外,该论坛还用于吸引潜在的分销商,后者可获得优惠码以帮助在黑客提升 Qrypter 的热度。另外,Qrypter 的老旧版本向客户免费提供,而 QUA R&D 的战略也包括破解竞争对手的产品、创造关于竞争的心理恐惧战术。
Forcepoint 公司总结称,“虽然 Qrypter 的恶意软件即服务相对较为便宜,但 QUA R&D 偶尔发布遭破解的竞争对手产品的事实可大大增加在野攻击,因为人人都可免费获取这些功能强大的犯罪软件。”