Исследователи из Forcepoint зафиксировали три новые киберкампании с использованием RAT-трояна Qrypter, который предлагаются на черном рынке как сервис. За $80 в месяц любой желающий может арендовать вредоносное ПО и получить широкие возможности по удаленному управлению скомпрометированным устройством.

Написанная на Java вредоносная программа, также известная как Qarallax, Quaverse, Qontroller и QRAT, обеспечивает удаленное подключение к рабочему столу пораженного компьютера и позволяет производить практически неограниченные манипуляции с ним. Среди других возможностей утилиты — доступ к веб-камерам, работа с файлами, установка и удаление программ, а также взаимодействие с диспетчером задач.

Зловред поддерживается группировкой QUA R&D и представляет собой платформу класса «троян-как-сервис». Первые сообщения об атаках Qrypter поступили еще в июне 2016 года, когда его жертвами стали граждане Швейцарии, обратившиеся в консульство за американской визой.

Троян представляет собой Java-апплет под управлением командного сервера, размещенного в сети Tor. Вредоносное ПО доставляется на компьютеры пользователей через спам-рассылки тиражом в несколько сотен писем. При этом последние три атаки, замеченные в феврале этого года, в общей сложности затронули 243 организации. Учитывая, что в каждой компании несколько десятков, а то и сотен компьютеров, число получателей спама может исчисляться тысячами.

Попав на компьютер жертвы, зловред распаковывает в каталог %Temp% два VBS-скрипта, которые используются для сбора информации об установленных файрволах и антивирусах.

Поддержка пользователей трояна ведется через форум Black&White Guys, где представители QUA R&D отвечают на вопросы потенциальных клиентов, а также демонстрируют возможности своих разработок. Авторы Qrypter подчеркивают, что система шифрования, которая применяется в зловреде, не может быть обнаружена большинством антивирусных программ. Скорее всего, это является главной причиной того, что в течение долгого времени о зловредной утилите не знало большинство ИБ-экспертов. Криптомодуль, кстати, тоже продается — по цене всего $5.

Создатели Qrypter уделяют немало внимания маркетингу своего продукта. Потенциальным покупателям предлагаются выгодные тарифные планы при подписке на 3 или 6 месяцев, среди посетителей форума распространяются купоны на скидку, а устаревшие версии Qrypter можно скачать бесплатно.

Еще одним способом популяризации зловреда является дискредитация конкурирующих троянов. QUA R&D регулярно выкладывают в сеть взломанные версии чужих вредоносных программ для того, чтобы продемонстрировать их ненадежность. Специалисты Forcepoint отмечают, что такой подход увеличивает риск интернет-атак, поскольку опасные утилиты становятся доступными большому числу злоумышленников.

Оплату за свои услуги авторы Qrypter принимают через платежную систему PerfectMoney, а также на кошельки Bitcoin и Bitcoin-Cash. На один из ассоциированных с преступниками криптовалютных аккаунтов уже было получено около $13 500, однако суммарный доход создателей зловреда подсчитать невозможно.

Иногда Qrypter ошибочно принимают за кросс-платформенный бэкдор Adwind, который наделал много шума несколько лет назад. Так же как и он, программа от QUA R&D способна расширять свой функционал при помощи плагинов. Однако масштабы распространения двух зловредов отличаются. В то время как Adwind нацелен на поражение как можно большего числа компьютеров, Qrypter специализируется на целевых атаках.

Категории: Аналитика, Вредоносные программы