Qrypter仍然几乎没有得到反病毒解决方案供应商的重视

3月16日讯 安全厂商 Forcepoint 公司表示，其安全研究人员在2018年2月观察到的三起 Qrypter远程访问木马（简称RAT）相关活动，总计影响到243家组织机构。

Qrypter 是基于Java 的 RAT

Qrypter 已经存在多年，常被误认为 Adwind 跨平台后门的恶意软件，但实际上则是是一款基于Java 的 RAT，其幕后黑手为名叫“QUA R&D”的地下组织，该组织专门提供恶意软件即服务类平台。

Qrypter，也被称为Qarallax、Quaverse、QRAT以及Qotroller。

Forcepoint 公司表示，Qrypter采用基于 TOR 的命令与控制（简称C&C）服务器，2016年6月被首次发现，在此之后曾被用于针对申请美国签证的瑞士民众实施攻击。该恶意软件通常通过恶意广告邮件进行交付，且每一波邮件传播一般只发送数百条消息，而且 Qrypter 的影响一直在不断扩大。

在受害者系统上运行时，Qrypter 会在 %Temp% 文件夹当中投放并运行两个 VBS 文件，且二者使用随机文件名。这两套脚本负责收集安装在目标计算机上的防火墙与反病毒产品信息。

Qrypter 是一套基于插件的后门，能够为攻击者提供广泛的功能，具体包括远程桌面连接、摄像头访问、文件系统操作、附加文件安装以及任务管理控制等等。

QUA R&D组织黑市“Qrypter”服务火热

Qrypter 目前的出租价格为80美元，可通过完美币、比特现金或比特币形式支付。其卖家（该恶意软件的开发者：QUA R&D）表示：有兴趣的买家还能够以折扣价格购买三个月或者一年期订阅服务。

与 Qrypter 订阅支付相关的旧有比特币地址似乎总计收到1.69比特币（截至本文发稿时，约折合13500美元）。然而，这还只是该恶意软件作者所使用的地址之一，其实际收入可能远高于此。

Qrypter的粉丝有2300人之多

该恶意软件的开发者还通过“Black&White Guys”论坛为其客户提供支持服务，目前此论坛拥有超过2300位注册成员。根据该论坛的内容，研究人员们得以发现 QUA R&D 的活动轨迹，该集团似乎非常关注客户的满意度，而且会定期发布通知并向用户保证所购买的加密服务（价格为5美元）能够完全回避反病毒解决方案的检测。

Forcepoint 公司指出，“确保产品彻底回避安全检测已经成为该集团的主要工作内容之一。这可能也解释了为什么在近两年，Qrypter 仍然几乎没有得到反病毒解决方案供应商的重视。”

除了与客户交互之外，该论坛还负责吸引更多潜在经销商。这些经销商将获得折扣码以帮助 Qrypter 提高自身在地下圈子中的知名度。此外，其还将该 RAT 的早期版本免费提供给客户。再有，QUA R&D 也通过破解竞争对手产品，散布竞争对手 FUD（即恐怖、不确定性与怀疑）言论的方式进行业务推广。

Forcepoint 公司总结称，“虽然 Qrypter MaaS 相对便宜，但 QUA R&D 偶尔会发布针对竞争对手产品的破解方案，这可能显著提高犯罪软件的免费使用机率，最终导致攻击活动成倍增加。”