当谈到跨平台后门时，我们首先想到的可能就是Adwind。它是一种跨平台且兼具多种功能的远控木马（RAT），可以运行在任何支持 Java 平台的环境中，能够通过后门进入到受害者的计算机中，并进行数据窃取和远程控制。

然而，安全公司Forcepoint发现，在过去的两年里，一个自称“QUA R＆D”的黑客组织一直在忙于开发和改进类似的恶意软件即服务（Malware-as-a-Service，MaaS）平台，以至于他们现在已经成为了Adwind的主要竞争对手。

实际上，QUA R＆D开发的恶意软件产品一直在以“Qrypter”的名称进行销售，但常常被安全社区误认为是Adwind。

在2016年3月首次被推出的Qrypter，也被称为Qarallax、Quaverse、QRAT或者Qontroller。它是一种是基于Java开发的远控木马，使用基于洋葱（TOR）网络的命令和控制（C&C）服务器。

Qrypter在2016年6月首次遭到披露，当时正被用于针对在瑞士申请美国签证的个人发起攻击。而现在Forcepoint的调查证实，Qrypter仍在继续活跃并一直在被升级改造，通常通过恶意电子邮件分发活动进行传播。

用于传播Qrypter的恶意电子邮件分发活动通常表现为一些小规模攻击，攻击者每次只会发送几百封电子邮件。但规模的大小并不能决定危害程度的高低，事实证明在全球范围内已经有许多组织都受到了这些攻击的影响。

根据Forcepoint公司安全研究团队的说法，他们在今年2月份共发现了三起与Qrypter相关的恶意攻击活动，至少有243个组织因此受到影响。

在受害者系统上执行时，Qrypter首先会在％Temp％文件夹中放置并运行两个VBS脚本文件，文件采用随机文件名，旨在收集安装在计算机上的防火墙和防病毒产品的信息。

然后，Qrypter将在％Temp％文件夹中放置并运行一个.REG文件，文件同样采用随机文件名。这个文件被用于降低系统的整体安全设置，并阻止包含在其预置列表中的执行取证和安全相关的进程。

此外，Qrypter还将删除自身的一个副本并创建以下注册表作为自动启动机制。

研究人员表示，Qrypter是一个基于插件的后门，它为攻击者提供了多种恶意操作功能：远程桌面连接、摄像头访问、文件系统操作、附加文件的安装以及任务管理器控制。

与Adwind类似，Qrypter也具备一套完善的商业模式。它以每月80美元的价格进行出租，并允许顾客使用PerfectMoney、Bitcoin-Cash或Bitcoin进行支付。另外，顾客还可以通过一次性支付三个月或一年的费用，以此来获得折扣。

据了解，QUA R＆D所使用的其中一个比特币钱包地址目前总共收到了1.69个比特币，大约价值为16,500美元。当然，QUA R＆D不可能仅使用一个加密货币钱包，它所获取到的总收入肯定会更高。

为了向顾客提供支持，QUA R＆D还开展了一个名为“黑人与白人（Black&White Guys）”的论坛，用于讨论与Qrypter MaaS相关的任何事情。根据论坛显示的信息，目前该论坛拥有超过2,325名注册会员。

值得注意的是，破解竞争对手的产品似乎也是QUA R＆D销售策略的一个组成部分。Forcepoint公司表示，QUA R＆D的这种做法会让任何人都能够免费获取到有效的恶意软件，从而使恶意软件的利用率以及网络犯罪的发生率大大提高。

本文由 黑客视界 综合网络整理，图片源自网络；转载请注明“转自黑客视界”，并附上链接。