Ten cuidado con Qrypter, el nuevo malware de acceso remoto
Cuando se trata de puertas traseras multiplataforma, Adwind es posiblemente la Herramienta de Acceso Remoto (RAT) más popular y documentada en el mercado. Sin embargo, en los últimos dos años, un grupo clandestino denominado “QUA R&D” se ha dedicado a desarrollar y mejorar una plataforma similar de Malware Como Servicio (MaaS, en inglés) hasta el punto de que ahora se ha convertido en un importante competidor de Adwind. De hecho, la comunidad de la seguridad a menudo confunde la RAT, desarrollada por QUA R&D y que se comercializa con el nombre de ‘Qrypter’, con Adwind.
INFORMACIÓN GENERAL
Qrypter es una RAT desarrollado en Java que utiliza servidores de Control y Comando (C2) basados en la red de anonimato TOR. Se introdujo por primera vez en marzo de 2016 y ha cambiado de nombre varias veces en los últimos años, entre ellos Qarallax, Quaverse, QRAT y Qontroller.
En junio de 2016, el malware se utilizó para apuntar a personas que solicitaban una visa de los Estados Unidos desde Suiza, lo que resultó en la primera cobertura de este tipo de malware en la industria de la seguridad.
Hoy, Qrypter sigue ganando protagonismo y normalmente se reparte a través de campañas de correo electrónico maliciosas como la que se muestra a continuación.
Aunque Qrypter se usa generalmente en ataques más pequeños que solo difunden unos centenares de correos electrónicos por campaña, afecta a muchas organizaciones en todo el mundo. En febrero de 2018 dimos seguimiento a tres campañas de Qrypter que afectaron a 243 organizaciones en total. El siguiente gráfico proporciona un desglose de los Dominios de Nivel Superior (TLD, en inglés) destinatarios en estas campañas:
ANÁLISIS
Cuando se ejecuta, Qrypter libera y ejecuta dos archivos VBS en la carpeta %Temp% utilizando nombres de archivos aleatorios. Estos scripts se utilizan para recopilar detalles de cualquier firewall y productos antivirus en la PC de la víctima:
Set oWMI = GetObject("winmgmts:{impersonationLevel=impersonate}!\\.\root\SecurityCenter2") Set colItems = oWMI.ExecQuery("Select * from FirewallProduct") For Each objItem in colItems With objItem WScript.Echo "{""FIREWALL"":""" & .displayName & """}" End With Next ASCII Strings: ===================== Set oWMI = GetObject("winmgmts: impersonationLevel=impersonate \\.\root\SecurityCenter2") Set colItems = oWMI.ExecQuery("Select from AntiVirusProduct") For Each objItem in colItems With objItem WScript.Echo " ""AV"":""" .displayName End With
A continuación, ejecuta un archivo .REG que también se libera en la carpeta %Temp% utilizando un nombre de archivo aleatorio. Este relaja las configuraciones de seguridad generales y evita que se ejecute una larga lista de procesos forenses y de seguridad, volviendo al sistema más vulnerable. Además, la misma lista de procesos es posteriormente cancelada por el malware mediante la ejecución del comando de Windows taskkill.
Lo que hace es colocar una copia de sí mismo y crear el siguiente registro como un mecanismo de inicio automático:
HKCU\Software\Microsoft\Windows\CurrentVersion\Run {random strings} "%AppData%\Oracle\bin\javaw.exe" -jar \"%USERPROFILE%\{random strings}\{random strings}.txt
Por último, se conecta al servidor de control y comando TOR, vvrhhhnaijyj6s2m [.] Onion [.] Top. Como es una puerta trasera tipo plugin, Qrypter es capaz de ejecutar una variedad de funciones de puerta trasera que incluyen:
- Conexión a escritorio remoto
- Acceso a la webcam
- Manipulación del sistema de archivos
- Instalación de archivos adicionales
- Control del administrador de tareas
MODELO DE NEGOCIO
Qrypter, al igual que Adwind, se alquila mensualmente por 80 dólares, que se pueden pagar a través de PerfectMoney, Bitcoin-Cash o Bitcoin. Los clientes también pueden pagar suscripciones de tres meses o un año por una tarifa con descuento. Se observó que una dirección anterior de Bitcoin que recibe el pago por las suscripciones de Qrypter recibió un total de 1.69 BTC. Este monto equivalía a aproximadamente 16,500 dólares al momento de la publicación de este blog (aunque dada la volatilidad de Bitcoin, esta valuación está sujeta a cambios rápidos).
Vale la pena señalar que estos datos solo revelan las ganancias de una de las direcciones de criptomonedas relacionadas con QUA R&D y que es probable que el total en todas las billeteras y monedas sea mucho mayor.
Con el fin de brindar soporte a sus clientes, QUA R&D dirige un foro denominado ‘Black & White Guys’ para discutir cualquier tema relacionado con Qrypter. Este foro actualmente cuenta con 2,325 miembros registrados:
El contenido de este foro revela la naturaleza de cómo opera QUA R&D y sus esfuerzos por mantener contentos a sus clientes. Por ejemplo, los administradores crean regularmente hilos de mensajes para informar y tranquilizar a sus clientes de que su servicio de cifrado, que actualmente se vende por 5 dólares, es Completamente Indetectable (FUD, en inglés) por los proveedores de software antivirus. Si los clientes no están satisfechos, se ofrecen devoluciones de crédito:
De hecho, garantizar que su producto sea completamente indetectable es una de las principales prioridades para el grupo y posiblemente explique por qué, incluso después de casi dos años, los proveedores de software antivirus en gran medida siguen sin poder detectar a Qrypter.
Si bien el foro es principalmente para clientes de Qrypter, también se usa para atraer a potenciales revendedores de su producto. A los revendedores se les proporcionan códigos de descuento, al igual que las empresas legítimas, lo que les ayuda a aumentar la popularidad de Qrypter en círculos clandestinos:
En forma similar, las versiones anteriores de la versión RAT se ofrecen a los clientes de forma gratuita.
Curiosamente, los productos para ‘crackear’ desarrollados por la competencia parecen ser otro aspecto de la estrategia de QUA R&D: la publicación que reproducimos a continuación muestra a un administrador anunciando que ha descifrado Unknown, una herramienta de acceso remoto. Supuestamente, la intención con esto es generar miedo, incertidumbre y duda sobre la competencia.
Publicaciones similares parecen indicar que incluso en sus inicios, el grupo de QUA R&D consideraba que JBifrost, un alias de Adwind, era su principal competidor y había tomado medidas similares para convencer a sus potenciales clientes.
DECLARACIÓN DE PROTECCIÓN
Los clientes de Forcepoint están protegidos contra esta amenaza en las siguientes etapas del ataque:
Etapa 2 (señuelo): los correos electrónicos maliciosos asociados con este ataque se identifican y bloquean.
CONCLUSIÓN
Esta publicación destaca que QUA R&D está decidido a reemplazar a Adwind en el negocio multiplataforma de MaaS. A dos años desde que comenzó a circular y con más de 2,000 usuarios registrados en su foro, parece que QUA R&D está logrando cada vez más tracción en los círculos clandestinos.
Aunque Qrypter es relativamente asequible, ocasionalmente QUA R&D distribuye productos para ‘crackear’ desarrollados por la competencia, lo que puede aumentar los ataques aleatorios en forma exponencial, al compartir el software fraudulento (o crimeware) con cualquiera de forma gratuita. Sin embargo, al comprender cómo operan las empresas ciberdelincuentes, como QUA R&D, estamos mejor posicionados para desarrollar estrategias de defensa y predecir situaciones futuras.
INDICADORES DE COMPROMISO
Qrypter SHA-256
445a73d4dc4c76b73d35233b2bfba3ee178eb2605def1542c2267375db1ee24c
Qrypter C2s
vvrhhhnaijyj6s2m[.]onion[.]top buzw55o32jgyznev[.]onion[.]top