全球数百家组织机构遭 Qrypter RAT 攻击

Forcepoint 公司指出，全球数百家组织机构遭到一系列用 Qrypter 远程访问木马 (RAT) 的攻击。

首次现身于2016年

这款恶意软件常被误认为 Adwind 跨平台后门，已存在多年，是由地下组织 “QUA R&D” 开发的，这个组织提供了一个恶意软件即服务 (MaaS) 平台。

Qrypter 又被称为 “Qarallax”、”Quaverse”、”QRAT” 和 “Qontroller”，它是一种基于 Java 的 RAT，利用基于 TOR 的命令和控制服务器。它首次于2016年6月被详细披露，当时的攻击目标主要针对申请美国签证的瑞士人。

Qrypter 恶意软件一般是通过恶意邮件活动传播的，这些恶意邮件活动仅包含数百份信息。然而，Qrypter 持续不断地现身，2018年2月出现了三起和 Qrypter 相关的活动，共有243 家组织机构受影响。

在受害者系统上执行后，Qrypter 在 %Temp% 文件夹中释放并运行两个 VBS 文件，每个文件中都包含一个随机文件名称。这两个脚本旨在收集安装在计算机上的防火墙和反病毒产品信息。

通过论坛提供技术支持，能躲避所有反病毒检测

Qrypter 的租赁价格是80美元，接受 PerfectMoney、比特币现金 (BCC) 或比特币。感兴趣的买家如购买三个月或一年的服务可享受优惠价。

和 Qrypter 服务支付相关的老旧比特币地址似乎共收到1.69个比特币（折合1.35万美元）。然而，这只是恶意软件作者使用的其中一个地址，也就是说他们的收入可能更高。

Qrypter 恶意软件开发人员通过名为“黑白人 (Black&White Guys)”的论坛向客户提供支持，该论坛目前的注册用户超过2300人。

研究人员从这个论坛的内容中发现了 QUA R&D 的运作方式。该组织的目的似乎是让客户开心，并且经常给用户发消息向客户确保他们的加密服务（5美元）可完全躲避反病毒供应商的检测。

Forcepoint 公司指出，“确实保证自己的产品完全无法被检测到是该组织的主要优势，而且也解释了为何近两年之后 Qrypter 仍然基本无法被反病毒供应商检测到。”

除了和客户交互外，该论坛还用于吸引潜在的分销商，后者可获得优惠码以帮助在黑客提升 Qrypter 的热度。另外，Qrypter 的老旧版本向客户免费提供，而 QUA R&D 的战略也包括破解竞争对手的产品、创造关于竞争的心理恐惧战术。

Forcepoint 公司总结称，“虽然 Qrypter 的恶意软件即服务相对较为便宜，但 QUA R&D 偶尔发布遭破解的竞争对手产品的事实可大大增加在野攻击，因为人人都可免费获取这些功能强大的犯罪软件。”