Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Любой желающий может арендовать RAT-троян и получить доступ к файлам, программам и даже веб-камерам чужого устройства.
Исследователи из Forcepoint зафиксировали три новые киберкампании с использованием RAT-трояна Qrypter, который предлагаются на черном рынке как сервис. За $80 в месяц любой желающий может арендовать вредоносное ПО и получить широкие возможности по удаленному управлению скомпрометированным устройством.
Написанная на Java вредоносная программа, также известная как Qarallax, Quaverse, Qontroller и QRAT, обеспечивает удаленное подключение к рабочему столу пораженного компьютера и позволяет производить практически неограниченные манипуляции с ним. Среди других возможностей утилиты — доступ к веб-камерам, работа с файлами, установка и удаление программ, а также взаимодействие с диспетчером задач.
Зловред поддерживается группировкой QUA R&D и представляет собой платформу класса «троян-как-сервис». Первые сообщения об атаках Qrypter поступили еще в июне 2016 года, когда его жертвами стали граждане Швейцарии, обратившиеся в консульство за американской визой.
Троян представляет собой Java-апплет под управлением командного сервера, размещенного в сети Tor. Вредоносное ПО доставляется на компьютеры пользователей через спам-рассылки тиражом в несколько сотен писем. При этом последние три атаки, замеченные в феврале этого года, в общей сложности затронули 243 организации. Учитывая, что в каждой компании несколько десятков, а то и сотен компьютеров, число получателей спама может исчисляться тысячами.
Попав на компьютер жертвы, зловред распаковывает в каталог %Temp% два VBS-скрипта, которые используются для сбора информации об установленных файрволах и антивирусах.
Поддержка пользователей трояна ведется через форум Black&White Guys, где представители QUA R&D отвечают на вопросы потенциальных клиентов, а также демонстрируют возможности своих разработок. Авторы Qrypter подчеркивают, что система шифрования, которая применяется в зловреде, не может быть обнаружена большинством антивирусных программ. Скорее всего, это является главной причиной того, что в течение долгого времени о зловредной утилите не знало большинство ИБ-экспертов. Криптомодуль, кстати, тоже продается — по цене всего $5.
Создатели Qrypter уделяют немало внимания маркетингу своего продукта. Потенциальным покупателям предлагаются выгодные тарифные планы при подписке на 3 или 6 месяцев, среди посетителей форума распространяются купоны на скидку, а устаревшие версии Qrypter можно скачать бесплатно.
Еще одним способом популяризации зловреда является дискредитация конкурирующих троянов. QUA R&D регулярно выкладывают в сеть взломанные версии чужих вредоносных программ для того, чтобы продемонстрировать их ненадежность. Специалисты Forcepoint отмечают, что такой подход увеличивает риск интернет-атак, поскольку опасные утилиты становятся доступными большому числу злоумышленников.
Оплату за свои услуги авторы Qrypter принимают через платежную систему PerfectMoney, а также на кошельки Bitcoin и Bitcoin-Cash. На один из ассоциированных с преступниками криптовалютных аккаунтов уже было получено около $13 500, однако суммарный доход создателей зловреда подсчитать невозможно.
Иногда Qrypter ошибочно принимают за кросс-платформенный бэкдор Adwind, который наделал много шума несколько лет назад. Так же как и он, программа от QUA R&D способна расширять свой функционал при помощи плагинов. Однако масштабы распространения двух зловредов отличаются. В то время как Adwind нацелен на поражение как можно большего числа компьютеров, Qrypter специализируется на целевых атаках.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |