3月16日訊 安全廠商 Forcepoint 公司表示，其安全研究人員在2018年2月觀察到的三起 Qrypter遠程訪問木馬（簡稱RAT）相關活動，總計影響到243家組織機構。

Qrypter 是基于Java 的 RAT

Qrypter 已經(jīng)存在多年，常被誤認為 Adwind 跨平臺后門的惡意軟件，但實際上則是是一款基于Java 的 RAT，其幕后黑手為名叫“QUA R&D”的地下組織，該組織專門提供惡意軟件即服務類平臺。

Qrypter，也被稱為Qarallax、Quaverse、QRAT以及Qotroller。

Forcepoint 公司表示，Qrypter采用基于 TOR 的命令與控制（簡稱C&C）服務器，2016年6月被首次發(fā)現(xiàn)，在此之后曾被用于針對申請美國簽證的瑞士民眾實施攻擊。該惡意軟件通常通過惡意廣告郵件進行交付，且每一波郵件傳播一般只發(fā)送數(shù)百條消息，而且 Qrypter 的影響一直在不斷擴大。

在受害者系統(tǒng)上運行時，Qrypter 會在 %Temp% 文件夾當中投放并運行兩個 VBS 文件，且二者使用隨機文件名。這兩套腳本負責收集安裝在目標計算機上的防火墻與反病毒產(chǎn)品信息。

Qrypter 是一套基于插件的后門，能夠為攻擊者提供廣泛的功能，具體包括遠程桌面連接、攝像頭訪問、文件系統(tǒng)操作、附加文件安裝以及任務管理控制等等。

QUA R&D組織黑市“Qrypter”服務火熱

Qrypter 目前的出租價格為80美元，可通過完美幣、比特現(xiàn)金或比特幣形式支付。其賣家（該惡意軟件的開發(fā)者：QUA R&D）表示：有興趣的買家還能夠以折扣價格購買三個月或者一年期訂閱服務。

與 Qrypter 訂閱支付相關的舊有比特幣地址似乎總計收到1.69比特幣（截至本文發(fā)稿時，約折合13500美元）。然而，這還只是該惡意軟件作者所使用的地址之一，其實際收入可能遠高于此。

Qrypter的粉絲有2300人之多

該惡意軟件的開發(fā)者還通過“Black&White Guys”論壇為其客戶提供支持服務，目前此論壇擁有超過2300位注冊成員。根據(jù)該論壇的內容，研究人員們得以發(fā)現(xiàn) QUA R&D 的活動軌跡，該集團似乎非常關注客戶的滿意度，而且會定期發(fā)布通知并向用戶保證所購買的加密服務（價格為5美元）能夠完全回避反病毒解決方案的檢測。

Forcepoint 公司指出，“確保產(chǎn)品徹底回避安全檢測已經(jīng)成為該集團的主要工作內容之一。這可能也解釋了為什么在近兩年，Qrypter 仍然幾乎沒有得到反病毒解決方案供應商的重視?！?/p>

除了與客戶交互之外，該論壇還負責吸引更多潛在經(jīng)銷商。這些經(jīng)銷商將獲得折扣碼以幫助 Qrypter 提高自身在地下圈子中的知名度。此外，其還將該 RAT 的早期版本免費提供給客戶。再有，QUA R&D 也通過破解競爭對手產(chǎn)品，散布競爭對手 FUD（即恐怖、不確定性與懷疑）言論的方式進行業(yè)務推廣。

Forcepoint 公司總結稱，“雖然 Qrypter MaaS 相對便宜，但 QUA R&D 偶爾會發(fā)布針對競爭對手產(chǎn)品的破解方案，這可能顯著提高犯罪軟件的免費使用機率，最終導致攻擊活動成倍增加?！?/p>