ΑρχικήsecurityUS Visa υποψήφιοι, στόχοι κατασκοπικής καμπάνιας με Parallax RAT

US Visa υποψήφιοι, στόχοι κατασκοπικής καμπάνιας με Parallax RAT

Οι άνθρωποι που υπέβαλαν αίτηση για US Visa στην Ελβετία παραπονέθηκαν για τη λήψη κακόβουλου λογισμικού από ένα άγνωστο άτομο μέσω Skype, που τους συστήθηκε ως κυβερνητικός αξιωματούχος των ΗΠΑ που ρυθμίζει τις αιτήσεις για την εν λόγω διαδικασία.

Τα θύματα αναφέρουν ότι το πρόσωπο τους έστειλε ένα αρχείο με το όνομα “US Travel Docs Information.jar”, αλλά αυτό που μεγάλωσε την καχυποψία τους ήταν το γεγονός ότι ο Skype λογαριασμός περιείχε ένα ορθογραφικό λάθος (ustravelidocs-switzerland, παρατηρήσετε το επιπλέον “i”) και ότι αυτό τους έκανε να συνειδητοποιήσουν ότι δεν ήταν επίσημος λογαριασμός.

US Visa υποψήφιοι, στόχοι κατασκοπικής καμπάνιας με Parallax RAT

Ερευνητές της F-Secure ερεύνησαν την υπόθεση και ανακοίνωσαν ότι βρήκαν πολλούς τέτοιους λογαριασμούς, με ορθογραφικά λάθη στα ονόματα, που στοχεύουν τους αιτούντες για visa και σε πολλές άλλες χώρες.

Η F-Secure λέει ότι όταν ανέλυσε το κακόβουλο αρχείο Java, βρήκε ότι ήταν μολυσμένο με ένα κακόβουλο λογισμικό που δεν είχαν δει ξανά, ένα RAT (Remote Access Trojan) που έδινε στους επιτιθέμενους πρόσβαση στον υπολογιστή του θύματος.

Οι ερευνητές ονόμασαν το κακόβουλο λογισμικό Qarallax RAT επειδή συνδέεται με ένα διακομιστή C&C (command and control) με ένα IP που οδηγούσε στο qarallax.com domain.

Ο οργανισμός που καταχώρησε το domain ονομάζονταν QUAverse, γεγονός που οδήγησε τους ερευνητές να πιστεύουν ότι αυτό το κακόβουλο λογισμικό κατά κάποιο τρόπο σχετίζεται με το Quaverse RAT που ανακαλύφθηκε τον Μάιο του 2015, επίσης γραμμένο σε Java.

Qarallax RAT user interface
Qarallax RAT user interface

Ρίχνοντας μια ματιά στις εσωτερικές λειτουργίες του RAT, οι ερευνητές βρήκαν rebranded εκδόσεις της LaZagne password dumping εφαρμογής αλλά και κάποια μοναδικά χαρακτηριστικά.

Αυτά περιελάμβαναν την ικανότητα να συλλαμβάνει κινήσεις του κέρσορα του ποντικιού, τα κλικ του ποντικιού, τις πληκτρολογήσεις, να λαμβάνει στιγμιότυπα από την κάμερα ή να καταγράφει βίντεο.

Ακριβώς όπως το και Quaverse RAT, το Qarallax RAT ήταν επίσης διαθέσιμο για online πώληση. Η τιμή του Qarallax κυμαίνεται από $22 έως $900, ανάλογα με την περίοδο για την οποία ο αγοραστής θέλει να νοικιάσει την υπηρεσία. Αξίζει να σημειωθεί ότι αυτό είναι το φυσιολογικό εύρος τιμών των υπηρεσιών αυτών.

Επειδή το εργαλείο ενοικιάζεται, δεν είναι και πολύ ακριβές να πούμε ότι η εκστρατεία για τις αιτήσεις US VISA είναι έργο Τούρκων χάκερ που μιλούν αραβικά, παρόλο που ενδείξεις στον πηγαίο κώδικα του Qarallax μπορεί να σας κάνουν να το πιστέψετε.

Το να δείξει κανείς ενδιαφέρον για τα άτομα που μπορεί να θέλουν να αφήσουν μια χώρα ακούγεται σαν κάτι που διάφορες καταπιεστικές κυβερνήσεις θα έκαναν, καθώς είναι γνωστό ότι αγοράζουν λογισμικό παρακολούθησης.

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS