استفاده ابزاری از نرم‌افزار اسکایپ برای پخش بدافزارها

محققان شرکت F-Secure دریافتند برخی مجرمان فضای مجازی در تلاش‌اند اطلاعات شخصی کاربران سوئیسی و همچنین دیگر مسافرانی که در پی گرفتن ویزا برای رفتن به آمریکا هستند را مورد حمله قرار دهند.

آی تی اس ان (پایگاه خبری امنیت فناوری اطلاعات) , فردریک ویلا، از مسئولان شرکت F-Secure در وبگاه این شرکت اعلام کرد مجرمان برای رسیدن به اهداف خود از یک بدافزار به نام QRAT یا Qarallax استفاده می‌کنند. در یک فرآیند جالب، این بدافزار از طریق نرم‌افزار اسکایپ و توسط مجرمان پخش می‌شود و همزمان مسئولان اداری آمریکا در پی کمک به افراد خواهان ویزای آمریکا هستند. در گذشته اسکایپ به عنوان ابزاری برای حمله استفاده می‌شد، اما امروزه به عنوان تبلیغ‌افزار از آن استفاده می‌شود.

ویلا همچنین اضافه کرد که از طراحی این بدافزار شش ماه می‌گذرد و برای فروش و یا اجاره در تالار گفتگوی یک وب‌گاه غیرقانونی قرار گذاشته شده بود و قیمت آن از ۲۲ دلار برای پنج روز شروع و به ۹۰۰ دلار برای یک سال نیز رسید.
هنگامی که یک کاربر در اسکایپ یک جستجوی ساده انجام می‌دهد تا اطلاعات بیشتری در مورد نحوه گرفتن ویزای آمریکا کسب کند، فرآیند شروع می‌شود. برای کسب اطلاعات بخش‌های مناسبی مانند ustraveldoc و Switzerland وجود دارند، اما در برخی مواقع مواردی از تبلیغات مشاهده می‎شود که در ظاهر قانونی و درست بوده، اما در حقیقت توزیع‎کنندگان بدافزار هستند. درچنین شرایطی این توزیع‎کنندگان می‎توانند کاربران را گول زده و برای آن‎ها ظاهری شبیه ustraveldoc و Switzerland داشته باشند، اما در حقیقت نام آن‎ها یک حرف i در وسط کلمه اضافه دارند و ustravelidoc هستند. همین حرف اضافی در نام باعث بروز سوءاستفاده از حساب اسکایپ می‎شود.

بنابه گفته ویلا، پرونده مخرب در این فرآیند یک برنامه جاوا است که می‎تواند در دستگاه‎های دارای سامانه عامل جاوا نصب شود.

هنگامی که یک تماس برقرار می‎شود، بدافزار به‌طور خودکار در رایانه فرد قربانی دریافت می‎شود. در این حالت بدافزار قادر است حرکات موشواره و کلیک‌ها را مشاهده و کنترل کند و همچنین دوربین رایانه را نیز تحت کنترل داشته باشد. شرکت F-Secure همچنین یک رونوشت از یک برنامه دارای بدافزار متن‎باز LaZagne کشف کرد که با بدافزار QRAT روی یک کارگزار قرار دارد. این مسئله به این معنی است که برنامه‎ای برای کنار هم قرار دادن این دو در حال طراحی است و اگر این برنامه طراحی شده و این دو بدافزار کنار یکدیگر قرار گیرند، مجرمان قادر خواهند بود رمزها را از راه‎های مختلف مانند شبکه اینترنتی Wi-Fi، مرورگرها، برنامه‎های گفتگو (چت) و برنامه‎های رایانامه‎ای به دست بیاورند.

ویلا در وب‎گاه شرکت عنوان کرد که کدهای کشف‎شده همراه این بدافزارها دارای اطلاعاتی از منشاء این بدافزارها می‎باشد. ویلا در ادامه گفت: «این بدافزار به دلیل وجود عبارات allah و وجود حمزه در نامش، به ظاهر برنامه‎ای عربی است. آدرس ۹۵.۲۱۱.۱۴۱.۲۱۵ نیز در هلند قرار دارد. اما مکان مربوط به بدافزار QARALLAX[.]COM، ترکیه گزارش شده است.»
این شرکت امنیتی همچنین ۲۱ حساب اسکایپ را یافته است که با نام ustravelidoc شروع می‎شوند. وجود این حساب‎ها به این معنی است که مجرمان هنوز در حال تلاش برای جذب مسافران به کشورهای دیگر هستند. فردریک ویلا درباره احتمال بروز چنین اتفاقی ابراز بی‎اطلاعی کرد.

scmagazine/asis