Qrypter es una RAT desarrollado en Java que utiliza servidores de Control y Comando (C2) basados en la red de anonimato TOR. Se introdujo por primera vez en marzo de 2016 y ha cambiado de nombre varias veces en los últimos años, entre ellos Qarallax, Quaverse, QRAT y Qontroller.
En junio de 2016, el malware se utilizó para apuntar a personas que solicitaban una visa de los Estados Unidos desde Suiza, lo que resultó en la primera cobertura de este tipo de malware en la industria de la seguridad.
Nota recomendada: ¿Por qué la nieve de Sochi se pintó de naranja?
Hoy, Qrypter sigue ganando protagonismo y normalmente se reparte a través de campañas de correo electrónico maliciosas como la que se muestra a continuación.
Aunque Qrypter se usa generalmente en ataques más pequeños que solo difunden unos centenares de correos electrónicos por campaña, afecta a muchas organizaciones en todo el mundo. En febrero de 2018 dimos seguimiento a tres campañas de Qrypter que afectaron a 243 organizaciones en total.
El siguiente gráfico proporciona un desglose de los Dominios de Nivel Superior (TLD, en inglés) destinatarios en estas campañas:
Cuando se ejecuta, Qrypter libera y ejecuta dos archivos VBS en la carpeta %Temp% utilizando nombres de archivos aleatorios. Estos scripts se utilizan para recopilar detalles de cualquier firewall y productos antivirus en la PC de la víctima:
A continuación, ejecuta un archivo .REG que también se libera en la carpeta %Temp% utilizando un nombre de archivo aleatorio. Este relaja las configuraciones de seguridad generales y evita que se ejecute una larga lista de procesos forenses y de seguridad, volviendo al sistema más vulnerable. Además, la misma lista de procesos es posteriormente cancelada por el malware mediante la ejecución del comando de Windows taskkill.
Lo que hace es colocar una copia de sí mismo y crear el siguiente registro como un mecanismo de inicio automático:
Por último, se conecta al servidor de control y comando TOR, vvrhhhnaijyj6s2m [.] Onion [.] Top. Como es una puerta trasera tipo plugin, Qrypter es capaz de ejecutar una variedad de funciones de puerta trasera que incluyen:
*Conexión a escritorio remoto
*Acceso a la webcam
*Manipulación del sistema de archivos
*Instalación de archivos adicionales
*Control del administrador de tareas
Qrypter, al igual que Adwind, se alquila mensualmente por 80 dólares, que se pueden pagar a través de PerfectMoney, Bitcoin-Cash o Bitcoin. Los clientes también pueden pagar suscripciones de tres meses o un año por una tarifa con descuento. Se observó que una dirección anterior de Bitcoin que recibe el pago por las suscripciones de Qrypter recibió un total de 1.69 BTC.
Nota recomendada: Far Cry 5 ya está disponible en todo el mundo
Este monto equivalía a aproximadamente 16,500 dólares al momento de la publicación de esta nota (aunque dada la volatilidad de Bitcoin, esta valuación está sujeta a cambios rápidos).
El riego de contagio es alto, por eso nunca debes abrir archivos de dudosa procedencia que te lleguen al correo, muchos de estos son enviados al apartado de spam, promociones y correo no deseado, por lo que debes tener cuidado con ellos y evitarlos a toda costa.
Deja tu comentario