3月16日訊 安全廠商 Forcepoint 公司表示，其安全研究人員在2018年2月觀察到的三起 Qrypter遠程訪問木馬（簡稱RAT）相關活動，總計影響到243家組織機構。

Qrypter 是基于Java 的 RAT

Qrypter 已經存在多年，常被誤認為 Adwind 跨平臺后門的惡意軟件，但實際上則是是一款基于Java 的 RAT，其幕后黑手為名叫“QUA R&D”的地下組織，該組織專門提供惡意軟件即服務類平臺。

Qrypter，也被稱為Qarallax、Quaverse、QRAT以及Qotroller。

Forcepoint 公司表示，Qrypter采用基于 TOR 的命令與控制（簡稱C&C）服務器，2016年6月被首次發現，在此之后曾被用于針對申請美國簽證的瑞士民眾實施攻擊。該惡意軟件通常通過惡意廣告郵件進行交付，且每一波郵件傳播一般只發送數百條消息，而且 Qrypter 的影響一直在不斷擴大。

在受害者系統上運行時，Qrypter 會在 %Temp% 文件夾當中投放并運行兩個 VBS 文件，且二者使用隨機文件名。這兩套腳本負責收集安裝在目標計算機上的防火墻與反病毒產品信息。

Qrypter 是一套基于插件的后門，能夠為攻擊者提供廣泛的功能，具體包括遠程桌面連接、攝像頭訪問、文件系統操作、附加文件安裝以及任務管理控制等等。

QUA R&D組織黑市“Qrypter”服務火熱

Qrypter 目前的出租價格為80美元，可通過完美幣、比特現金或比特幣形式支付。其賣家（該惡意軟件的開發者：QUA R&D）表示：有興趣的買家還能夠以折扣價格購買三個月或者一年期訂閱服務。

與 Qrypter 訂閱支付相關的舊有比特幣地址似乎總計收到1.69比特幣（截至本文發稿時，約折合13500美元）。然而，這還只是該惡意軟件作者所使用的地址之一，其實際收入可能遠高于此。

Qrypter的粉絲有2300人之多

該惡意軟件的開發者還通過“Black&White Guys”論壇為其客戶提供支持服務，目前此論壇擁有超過2300位注冊成員。根據該論壇的內容，研究人員們得以發現 QUA R&D 的活動軌跡，該集團似乎非常關注客戶的滿意度，而且會定期發布通知并向用戶保證所購買的加密服務（價格為5美元）能夠完全回避反病毒解決方案的檢測。

Forcepoint 公司指出，“確保產品徹底回避安全檢測已經成為該集團的主要工作內容之一。這可能也解釋了為什么在近兩年，Qrypter 仍然幾乎沒有得到反病毒解決方案供應商的重視。”

除了與客戶交互之外，該論壇還負責吸引更多潛在經銷商。這些經銷商將獲得折扣碼以幫助 Qrypter 提高自身在地下圈子中的知名度。此外，其還將該 RAT 的早期版本免費提供給客戶。再有，QUA R&D 也通過破解競爭對手產品，散布競爭對手 FUD（即恐怖、不確定性與懷疑）言論的方式進行業務推廣。

Forcepoint 公司總結稱，“雖然 Qrypter MaaS 相對便宜，但 QUA R&D 偶爾會發布針對競爭對手產品的破解方案，這可能顯著提高犯罪軟件的免費使用機率，最終導致攻擊活動成倍增加。”