Blog do Forcepoint Security Labs: uma análise do Qrypter, principal rival do Adwind no mercado de MaaS de plaforma cruzada

São Paulo--(DINO - 26 mar, 2018) - Quando o assunto é backdoor de plataforma cruzada, o Adwind é sem dúvida a mais popular e mais documentada ferramenta de acesso remoto (remote access tool RAT) que existe. Porém, nos últimos dois anos, um grupo clandestino que se autointitula "QUA R&D" tem trabalhado para desenvolver e aperfeiçoar uma plataforma de malware como serviço (Malware-as-a-Service -MaaS) semelhante e que se tornou uma grande concorrente do Adwind. Na verdade, a RAT da QUA R&D, que é vendida com o nome de "Qrypter", é frequentemente confundida com o Adwind pela comunidade de segurança.DESCRIÇÃO GERALO Qrypter é uma RAT baseada em Java que utiliza servidores de comando e controle (C2) baseados em TOR. Foi disponibilizada pela primeira vez em março de 2016 e já teve vários nomes, inclusive Qarallax, Quaverse, QRAT e Qontroller.Em junho de 2016, o malware foi utilizado para atacar pessoas na Suíça que se candidatavam a um visto para os Estados Unidos, o que resultou na sua primeira cobertura pelo setor de segurança.Hoje, o Qrypter adquire cada vez mais força, sendo geralmente entregue através de campanhas de e-mails maliciosos. O Qrypter é geralmente utilizado em ataques de menor porte que enviam apenas algumas centenas de e-mails por campanha mas que afetam muitas empresas em todo o mundo. Em fevereiro de 2018, rastreamos três campanhas ligadas ao Qrypter que afetaram um total de 243 empresas. ANÁLISEQuando executado, o Qrypter coloca e executa dois arquivos VBS na pasta %Temp% utilizando nomes de arquivos aleatórios. Esses scripts são utilizados para coletar detalhes de todos os produtos de antivírus e firewall no computador da vítima.Em seguida é executado um arquivo .REG que também é colocado na pasta %Temp% utilizando um nome de arquivo aleatório. Isso reduz o nível geral de segurança de sistema e evita a execução de uma grande lista de processos de segurança e para fins forenses. Além disso, a mesma lista de processos é depois encerrada pelo malware executando-se o comando taskkill do Windows. Envia uma cópia de si mesmo e cria o seguinte registro como mecanismo de auto inicialização.Por último, se conecta com seu servidor de comando e controle baseado em TOR, vvrhhhnaijyj6s2m[.]onion[.]top. Como uma backdoor baseada em plugin, o Qrypter pode executar várias funções de backdoor, como as seguintes:? Conexão remota com desktop? Acesso a webcam? Manipulação de sistema de arquivo? Instalação de arquivos adicionais? Controle do gerente de tarefasMODELO COMERCIALAssim como o Adwind, o Qrypter é alugado mensalmente por US$ 80, que podem ser pagos em PerfectMoney, Bitcoin-Cash ou em Bitcoin. Os clientes também podem fazer assinaturas com descontos por três meses ou por um ano. Notou-se que um antigo endereço de Bitcoin que recebe pagamento para assinaturas do Qrypter recebeu um total de 1,69 BTC. Isso equivale a cerca de US$ 16.500 no momento em que este artigo foi escrito (porém, considerando-se a volatilidade do Bitcoin, este valor está sujeito a mudar rapidamente).Lembremos que isso revela apenas rendimentos de um dos endereços de criptomoeda relacionados à QUA e que o total em todas as carteiras e moedas deverá ser bem superior. Para fornecer apoio aos seus clientes, a QUA R&D realiza um fórum denominado "Black&White Guys" para discutir qualquer assunto relacionado ao MaaS do Qrypter. Esse fórum possui atualmente 2.325 membros registrados.O conteúdo desse fórum revela o modo de operação da QUA R&D e seus esforços para manter seus clientes satisfeitos. Por exemplo, os administradores criam regularmente sequências para informar e assegurar seus clientes de que seu serviço de encriptação, vendido atualmente por US$ 5 é totalmente FUD (do inglês, fully undetected, ou totalmente não detectado) por fornecedores de antivírus. Se os clientes não estiverem satisfeitos, eles oferecem a opção de devolução do dinheiro.Garantir que seu produto seja totalmente protegido para não ser detectado é sem dúvida uma das prioridades do grupo e isso pode explicar porque mesmo depois que quase dois anos o Qrypter continua sendo geralmente não detectado pelos fornecedores de antivírus. O fórum destina-se aos clientes do Qrypter, mas é também utilizado para atrair revendedores em potencial para seu produto. Os revendedores recebem códigos para desconto -- como acontece com as empresas legítimas -- que contribuem para aumentar a popularidade do Qrypter nos setores clandestinos:Versões mais antigas da RAT também são oferecidas de graça aos clientes. O interessante é que acabar com a concorrência parece ser também parte da estratégia da QUA R&D -- a postagem abaixo mostra um administrador anunciando que conseguiram entrar em uma RAT Unknown. Isso é supostamente feito para gerar outro tipo de FUD (ou seja, "medo, incerteza e dúvida") sobre seus concorrentes. Postagens semelhantes sugerem que mesmo nos seus primórdios a QUA R&D considerou o JBifrost, pseudônimo do Adwind, como seu principal concorrente e tomou medidas semelhantes para atrair clientes em potencial.CONCLUSÃOEsta postagem destaca a determinação da QUA R&D em substituir o famoso Adwind no setor de MaaS de plataforma cruzada. Há dois anos em operação e com mais de 2.000 de usuários registrados no seu fórum, parece que eles estão aumentando sua influência no setor clandestino.O MaaS do Qrypter é relativamente barato, mas a liberação ocasional da QUA R&D de produtos de concorrentes pode aumentar bastante os ataques por colocar à disposição de qualquer pessoa, e de graça, recursos potencialmente criminosos. Porém, entendendo-se como as empresas de crime cibernético como a QUA R&D atuam, podemos nos posicionar melhor para desenvolver estratégias de defesa e nos preparar para problemas futuros.