کمیته رکن چهارم – محققان شرکت F-Secure دریافتند برخی مجرمان فضای مجازی در تلاشاند اطلاعات شخصی کاربران سوئیسی و همچنین دیگر مسافرانی که در پی گرفتن ویزا برای رفتن به آمریکا هستند را مورد حمله قرار دهند.
به گزارش کمیته رکن چهارم،فردریک ویلا، از مسئولان شرکت F-Secure در وبگاه این شرکت اعلام کرد مجرمان برای رسیدن به اهداف خود از یک بدافزار به نام QRAT یا Qarallax استفاده میکنند. در یک فرآیند جالب، این بدافزار از طریق نرمافزار اسکایپ و توسط مجرمان پخش میشود و همزمان مسئولان اداری آمریکا در پی کمک به افراد خواهان ویزای آمریکا هستند. در گذشته اسکایپ به عنوان ابزاری برای حمله استفاده میشد، اما امروزه به عنوان تبلیغافزار از آن استفاده میشود.
ویلا همچنین اضافه کرد که از طراحی این بدافزار شش ماه میگذرد و برای فروش و یا اجاره در تالار گفتگوی یک وبگاه غیرقانونی قرار گذاشته شده بود و قیمت آن از ۲۲ دلار برای پنج روز شروع و به ۹۰۰ دلار برای یک سال نیز رسید.
هنگامی که یک کاربر در اسکایپ یک جستجوی ساده انجام میدهد تا اطلاعات بیشتری در مورد نحوه گرفتن ویزای آمریکا کسب کند، فرآیند شروع میشود. برای کسب اطلاعات بخشهای مناسبی مانند ustraveldoc و Switzerland وجود دارند، اما در برخی مواقع مواردی از تبلیغات مشاهده میشود که در ظاهر قانونی و درست بوده، اما در حقیقت توزیعکنندگان بدافزار هستند. درچنین شرایطی این توزیعکنندگان میتوانند کاربران را گول زده و برای آنها ظاهری شبیه ustraveldoc و Switzerland داشته باشند، اما در حقیقت نام آنها یک حرف i در وسط کلمه اضافه دارند و ustravelidoc هستند. همین حرف اضافی در نام باعث بروز سوءاستفاده از حساب اسکایپ میشود.
بنابه گفته ویلا، پرونده مخرب در این فرآیند یک برنامه جاوا است که میتواند در دستگاههای دارای سامانه عامل جاوا نصب شود.
هنگامی که یک تماس برقرار میشود، بدافزار بهطور خودکار در رایانه فرد قربانی دریافت میشود. در این حالت بدافزار قادر است حرکات موشواره و کلیکها را مشاهده و کنترل کند و همچنین دوربین رایانه را نیز تحت کنترل داشته باشد. شرکت F-Secure همچنین یک رونوشت از یک برنامه دارای بدافزار متنباز LaZagne کشف کرد که با بدافزار QRAT روی یک کارگزار قرار دارد. این مسئله به این معنی است که برنامهای برای کنار هم قرار دادن این دو در حال طراحی است و اگر این برنامه طراحی شده و این دو بدافزار کنار یکدیگر قرار گیرند، مجرمان قادر خواهند بود رمزها را از راههای مختلف مانند شبکه اینترنتی Wi-Fi، مرورگرها، برنامههای گفتگو (چت) و برنامههای رایانامهای به دست بیاورند.
ویلا در وبگاه شرکت عنوان کرد که کدهای کشفشده همراه این بدافزارها دارای اطلاعاتی از منشاء این بدافزارها میباشد. ویلا در ادامه گفت: «این بدافزار به دلیل وجود عبارات allah و وجود حمزه در نامش، به ظاهر برنامهای عربی است. آدرس ۹۵.۲۱۱.۱۴۱.۲۱۵ نیز در هلند قرار دارد. اما مکان مربوط به بدافزار QARALLAX[.]COM، ترکیه گزارش شده است.»
این شرکت امنیتی همچنین ۲۱ حساب اسکایپ را یافته است که با نام ustravelidoc شروع میشوند. وجود این حسابها به این معنی است که مجرمان هنوز در حال تلاش برای جذب مسافران به کشورهای دیگر هستند. فردریک ویلا درباره احتمال بروز چنین اتفاقی ابراز بیاطلاعی کرد.
scmagazine/asis
