وب‌گاه جعلی VPN و انتشار کی‌لاگر

اما به گزارش پژوهش‌گران Malwarebytes وب‌گاهی با نام aquavpn(dot)com وجود دارد که توسط فرد ناشناسی در سپتامبر2013 ثبت شده و سرویس وی‌پی‌اِنی با نام AquaVPN را ارائه می‌کند. جالب است بدانید که به‌تازگی سرویس جدیدی به نام Aqua به راه افتاده که هویت افراد را در فضای مجازی پنهان می‌سازد و ظاهراً این کمپین مخرب از این نام سوء‌استفاده کرده است.

در نگاه اول این وب‌گاه یک ارائه‌دهنده‌ی سرویس معتبر به نظر می‌رسد اما درواقع برای توزیع بدافزاری ایجاد شده که اطلاعات را از رایانه‌های آلوده سرقت می‌کند.

زمانی که از کاربر خواسته می‌شود که جاوااپلت را اجرا کند تا به AquaVPN متصل شود، این بدافزار  وارد سامانه‌ی فرد می‌گردد. در صورتی که این اپلت اجرا شود دو پرونده درون یک دایرکتوری در دیسک سخت سامانه رها می‌شود. یکی از این پرونده‌ها کی‌لاگری است که هر کلید فشرده شده توسط کاربر را ثبت می‌کند و پرونده‌ی دیگر مقصدی برای ذخیره‌ی اطلاعات سرقتی بدافزار است.

این وب‌گاه جعلی ظاهراً اقداماتِ فنی در حال انجامی را برای کاربر فهرست می‌کند(مثل loading initial database server، loading environment variable workspace، parsing data to server و initiating VPN countries). همچنین چنانچه در شکل می‌بینید نوار سبز رنگی را نیز به نمایش در آورده تا وانمود کند در حال انجام عملیات مربوطه است. اما بد نیست بدانید که این نوار سبز رنگ و جدول اقداماتِ در حال انجام واقعی نبوده و هر دو تصاویر GIF هستند که در وب‌گاه دیگری به نام  secure-jar(dot)com میزبانی می‌شوند.

آزمایشگاه تحقیقاتی Malwarebytes این بدافزار را Trojan.MSIL نامیده و به گزارش ویروس‌توتال 29 مورد از 47 ضدبدافزار قادر به شناسایی آن می‌باشند.

بنابراین به توصیه‌ی کارشناسان همواره باید پیش از ثبت‌نام در وب‌گاه‌هایی که ادعای ارائه‌ی سرویس‌های حریم خصوصی را دارند، کمی درباره‌ی آن‌ها جستجو کرد و از اعتبار آن‌ها مطمئن شد.

منبع:وبگاه فناوری اطلاعات انرژی اتمی