Investigadores de seguridad de la información han revelado como una herramienta de acceso remoto basada en Java llamada “Qrypter” está ganando popularidad sobre puertas traseras multiplataforma existentes como Adwind como una plataforma eficiente de Malware-as-a-Service (MaaS) aunque se lanzó por primera vez un par de años atrás.

Las plataformas de Malware-as-a-Service (MaaS) han sido ampliamente utilizadas por actores maliciosos a lo largo de los años para infectar los sistemas informáticos empresariales y las computadoras personales que están protegidas por productos antivirus tradicionales. Dichas plataformas a menudo se ofrecen a la venta en la web oscura para operaciones de una sola vez o como un paquete para uso regular.

Una de esas plataformas que los hackers han utilizado con frecuencia para infectar sistemas informáticos es Adwind, una herramienta de acceso remoto que sus desarrolladores en la web oscura alquilan por US $ 80 (£ 56) por mes a los hackers. Para ocultar tales transacciones, los creadores de Adwind aceptan pagos en Bitcoin y otras criptomonedas.

Los hackers han comenzado a usar una nueva plataforma de Malware-as-a-Service (MaaS) con creciente regularidad. Bautizado como “Qrypter”, la herramienta de acceso remoto basada en Java, que a menudo los investigadores han confundido con Adwind debido a las similitudes en su código, ahora se vende en el mercado oscuro por exactamente el mismo precio que Adwind, descubrieron recientemente investigadores de seguridad de la información.

Según los investigadores, Qrypter se utilizó por primera vez en marzo de 2016 y nuevamente tres meses después para apuntar a las personas que solicitan una visa de los Estados Unidos en Suiza, atrayendo así la atención de los expertos en seguridad de la información. La frecuencia de su uso en todo el mundo creció significativamente desde entonces y hasta febrero de 2018, hasta 243 organizaciones se vieron afectadas por tres campañas relacionadas con Qrypter.

El uso de Qrypter básicamente involucra a los hackers que inyectan la herramienta en los sistemas de las víctimas mediante el uso de correos electrónicos de phishing diseñados para atraer a dichas víctimas a la descarga de archivos adjuntos maliciosos. Una vez que se infiltra en una computadora, suelta y ejecuta dos archivos VBS en la carpeta% Temp% usando nombres de archivos aleatorios que, a su vez, recopilan detalles de cualquier cortafuegos y productos antivirus en la PC de la víctima.

Una vez que se obtienen dichos detalles, Qrypter ejecuta un archivo .REG almacenado en la carpeta% Temp% utilizando un nombre de archivo aleatorio, lo que reduce la configuración de seguridad general y evita la ejecución de procesos relacionados con la seguridad. Una vez que se completa este pasó, la herramienta se conecta a su servidor de comando y control basado en TOR y ejecuta un rango de funcionalidad de puerta trasera como manipulación de sistemas de archivos, instalación de archivos adicionales, control del Administrador de tareas y acceso a la cámara web de la PC.

“Mirando a Qrypter, veo el escritorio como el nuevo campo de batalla, la lista blanca de aplicaciones debe ser un requisito básico”

Los analistas de seguridad de la información descubrieron que Qrypter, además de estar disponible para alquilar, también se puede comprar en suscripciones de tres meses o un año. Sus creadores aceptan pagos en PerfectMoney, Bitcoin-Cash o Bitcoin y se encontró que una dirección de Bitcoin usada por ellos recibió un total de 1.69 BTC en pagos.

“Si bien el Qrypter MaaS es relativamente barato, el lanzamiento ocasional de QUA R & D de productos de la competencia crackeados puede aumentar exponencialmente los ataques en la naturaleza haciendo accesible el crimeware potente a cualquiera de forma gratuita. Sin embargo, al comprender cómo operan empresas hackers como QUA R & D, mejor posicionada para desarrollar estrategias de defensa y predecir desarrollos futuros “, dijeron.

Comentando sobre el aumento en la demanda de Qrypter en la web oscura, Ed Williams, director de EMEA de SpiderLabs, dijo que con 243 organizaciones siendo explotadas activamente, está claro que las organizaciones no están equipadas para tratar con MaaS como plataforma. La razón por la cual la plataforma ha tenido éxito hasta el momento es que explota los problemas comunes y las vulnerabilidades que prevalecen en los sistemas de TI de la empresa.

“Observar la forma en que el malware opera cualquier cantidad de defensa en profundidad haría que el malware sea efectivo. Para aumentar la seguridad y la madurez, las organizaciones deben considerar la forma en que los atacantes usan TTP (herramientas, técnicas y procedimientos) y mitigar mejoras en las personas, los procesos y la tecnología.

“Mirando a Qrypter específicamente, veo el escritorio como el nuevo campo de batalla, y con un escritorio no reforzado que está esperando para ser incluido de esta manera, la lista blanca de aplicaciones debe ser un requisito básico”, dijo el profesional de seguridad de la información.

Williams agregó que con los proveedores de correo electrónico basados en la nube aumentan sus herramientas y protección y respuesta a correos electrónicos maliciosos a través de Mejoras anti-imitación, mayor granularidad de fuentes externas confiables y análisis de ataques maduros basados en el contenido, tales herramientas pueden aprovecharse para aumentar la seguridad junto con otras defensas en medidas de profundidad.