Forcepoint 公司指出，全球数百家组织机构遭到一系列用 Qrypter 远程访问木马 (RAT) 的攻击。

　　首次现身于2016年

这款恶意软件常被误认为Adwind跨平台后门，已存在多年，是由地下组织提供的“QUA R&D”开发的，这个组织提供了一个恶意软件即服务(MaaS)平台。

Qrypter又称为Qarallax，Quaverse，QRAT和Qontroller，它是一种基于Java的RAT，当时的攻击目标主要针对申请美国签证的瑞士人。

Qrypter持续不断地现身，2018年2月出现了三起和Qrypter相关的活动，共有243家组织机构受影响。

在受害者系统上执行后，Qrypter在%Temp%文件夹中释放并运行两个VBS文件，每个文件中都包含一个随机文件名称。这两个脚本旨在收集安装在计算机上的防火墙和反病毒产品信息。

　　通过论坛提供技术支持，能躲避所有反病毒检测

Qrypter的租赁价格是80美元，接受PerfectMoney，比特币现金(BCC)或比特币。感兴趣的买家如购买三个月或一年的服务可享受优惠价。

和Qrypter服务支付相关的老旧比特币地址似乎共收到1.69个比特币(折合1.35万美元)。然而，这只是恶意软件作者使用的其中一个地址，也就是说他们的收入可能更高。

Qrypter恶意软件开发人员通过名为“黑白人(Black&White Guys)”的论坛向客户提供支持，该论坛目前的注册用户超过2300人。

研究人员从这个论坛的内容中发现了QUA R&D的运作方式。该组织的目的似乎是让客户开心，并且经常给用户发消息向客户确保他们的加密服务(5美元)可完全躲避反病毒供应商的检测。

Forcepoint公司指出，“确实保证自己的产品完全无法被检测到是该组织的主要优势，而且也解释了为何近两年之后Qrypter仍然基本无法被感染病毒供应商检测到。”

除了和客户交互外，该论坛还用于吸引潜在的分销商，后者可获得优惠码以帮助在黑客提升Qrypter的热度。另外，Qrypter的老版本向客户免费提供，而QUA R&D的战略也包括破解竞争对手的产品，创造关于竞争的心理恐惧战术。

Forcepoint公司总结称，“虽然Qrypter的恶意软件即服务相对较为便宜，但QUA R&D偶尔发布遭破解的竞争对手产品的事实可大大增加在野攻击中，因为人人都可免费获取这些功能强大的犯罪软件。 ”

(责任编辑：安博涛)