Стало известно о новой вредоносной кампании, нацеленной на организации по всему миру. Злоумышленники пустили в ход опасный троян Qrypter.
О проблеме сообщили исследователи кибербезопасности из компании Forcepoint. Вредоносное ПО, часто ошибочно принимаемое за кроссплатформенный бэкдор Adwind, существует уже несколько лет. Разработано оно группой под названием QUA R&D, предлагающей его по модели “вредоносное-ПО-как-услуга” (Malware-as-a-Service, MaaS).
Qrypter, также известный как Qarallax, Quaverse, QRAT и Qontroller, представляет собой троян для удаленного доступа на базе Java, который использует серверы C&C-серверы на основе Tor. Распространяется вредонос за счет электронных писем. Несмотря на то, что число писем относительно небольшое, распространение Qrypter приносит немало проблем. 3 вредоносные кампании, зафиксированные в феврале 2018 года, затронули 243 организации.
Оказавшись на системе, Qrypter запускает два файла VBS в папке %Temp%, каждый из которых имеет произвольное имя файла. Эти скрипты предназначены для сбора информации о межсетевом экране и антивирусных решениях, которые установлены на компьютере.
Qrypter дает злоумышленникам много возможностей: подключение к удаленному рабочему столу, доступ к web-камерам, манипулирование файловой системой, установка дополнительных файлов и управление диспетчером задач. Все это печально вдвойне, учитывая, что этот троян можно просто купить у разработчика.
Источник: securitylab.ru
