Cuando se trata de puertas traseras multiplataforma, Adwind es posiblemente la Herramienta de Acceso Remoto (RAT) más popular y documentada en el mercado.
Sin embargo, en los últimos dos años, un grupo clandestino denominado «QUA R&D» se ha dedicado a desarrollar y mejorar una plataforma similar de Malware Como Servicio (MaaS, en inglés) hasta el punto de que ahora se ha convertido en un importante competidor de Adwind. De hecho, la comunidad de la seguridad a menudo confunde la RAT, desarrollada por QUA R&D y que se comercializa con el nombre de ‘Qrypter’, con Adwind.
Qrypter es una RAT desarrollado en Java que utiliza servidores de Control y Comando (C2) basados en la red de anonimato TOR. Se introdujo por primera vez en marzo de 2016 y ha cambiado de nombre varias veces en los últimos años, entre ellos Qarallax, Quaverse, QRAT y Qontroller.
En junio de 2016, el malware se utilizó para apuntar a personas que solicitaban una visa de los Estados Unidos desde Suiza, lo que resultó en la primera cobertura de este tipo de malware en la industria de la seguridad.
Hoy, Qrypter sigue ganando protagonismo y normalmente se reparte a través de campañas de correo electrónico maliciosas como la que se muestra a continuación.
Aunque Qrypter se usa generalmente en ataques más pequeños que solo difunden unos centenares de correos electrónicos por campaña, afecta a muchas organizaciones en todo el mundo. En febrero de 2018 dimos seguimiento a tres campañas de Qrypter que afectaron a 243 organizaciones en total. El siguiente gráfico proporciona un desglose de los Dominios de Nivel Superior (TLD, en inglés) destinatarios en estas campañas:
Cuando se ejecuta, Qrypter libera y ejecuta dos archivos VBS en la carpeta %Temp% utilizando nombres de archivos aleatorios. Estos scripts se utilizan para recopilar detalles de cualquier firewall y productos antivirus en la PC de la víctima.
A continuación, ejecuta un archivo .REG que también se libera en la carpeta %Temp% utilizando un nombre de archivo aleatorio. Este relaja las configuraciones de seguridad generales y evita que se ejecute una larga lista de procesos forenses y de seguridad, volviendo al sistema más vulnerable. Además, la misma lista de procesos es posteriormente cancelada por el malware mediante la ejecución del comando de Windows taskkill.
Lo que hace es colocar una copia de sí mismo y crear el siguiente registro como un mecanismo de inicio automático.
QUA R&D está decidido a reemplazar a Adwind en el negocio multiplataforma de MaaS. A dos años desde que comenzó a circular y con más de 2,000 usuarios registrados en su foro, parece que QUA R&D está logrando cada vez más tracción en los círculos clandestinos.
Aunque Qrypter es relativamente asequible, ocasionalmente QUA R&D distribuye productos para ‘crackear’ desarrollados por la competencia, lo que puede aumentar los ataques aleatorios en forma exponencial, al compartir el software fraudulento (o crimeware) con cualquiera de forma gratuita. Sin embargo, al comprender cómo operan las empresas ciberdelincuentes, como QUA R&D, estamos mejor posicionados para desarrollar estrategias de defensa y predecir situaciones futuras.
Deja un comentario