Эксперты из Forcepoint сообщили о новой киберкампании с использованием троянской программы Qrypter.
Эта вредоносная программа существует на протяжении уже нескольких лет и была разработана хакерской группой QUA R&D, которая распространяет ее по модели MaaS (Malware-as-a-Service, «вредоносное ПО как услуга»).
Qrypter (Qarallax, Qontroller, QRAT, Quaverse) – это троянская программа для удаленного доступа на базе Java, которая работает с командными серверами на основе Tor. Впервые стала известна в июне 2016 года после атаки на швейцарцев, обращавшихся за американской визой.
Распространение вредоносной программы осуществляется посредством электронной почтовой рассылки. Несмотря на то, что объем рассылки сравнительно невелик, Qrypter продолжает набирать известность. По словам экспертов, три вредоносные кампании, выявленные в прошлом месяце, затронули 243 организации в разных странах мира.
При проникновении в систему Qrypter осуществляет запуск в папке Temp двух VBS-файлов, каждый из которых имеет произвольное имя. Эти скрипты осуществляют сбор данных о межсетевом экране и антивирусах, установленных на компьютере.
Qrypter предоставляет хакерам большой арсенал возможностей: можно подключаться к удаленному рабочему столу, получать доступ к веб-камерам, манипулировать файловой системой, устанавливать дополнительные файлы и управлять диспетчером задач.
Ежемесячная стоимость аренды троянcкой программы составляет 80 долларов. Заплатить за услугу можно с помощью Bitcoin, Bitcoin-Cash и PerfectMoney. Кроме того, со скидкой можно приобрести подписку на три месяца или год.
На одном из счетов, куда переводились платежи за подписки, хранилось 1,69 биткоина (около 13000 долларов). Общая сумма, которую создатели Qrypter получили от своих клиентов, может быть значительно больше.