随着斯诺登/NSA泄密事件的持续影响,VPN服务的需求可能从未如此之大。在试图把你的眼睛从你的日常事务中抹去的时候,这些都是很方便的事情,每个人都应该至少考虑一下事情的来龙去脉。在船上跳跃

然而,这并不意味着你应该放松警惕——正如我们即将看到的那样,有时试图让自己更安全可能最终会犯下可怕的错误。

今天我们来看看aquavpn(点)com,这是一个创建于2013年9月的网站,声称提供VPN服务。它是匿名注册的(使用Whois保护服务)。

几个月前,有人试图在Pastebin上宣传它:

促销

此外,不久前有人在Reddit上提到:

“不要点击广告…”

“不过,不要点击广告。他们正在进行为期一周的试验。你们用什么?谢谢“,它说。

有趣的是,一种新形式的匿名服务目前正在进行中它的名字和这个一样——“水”。假设我们可以找到对新服务的引用早期的与上面的URL注册时相比,这可能是一种试图利用尚未发布的匿名工具的做法。

我们正在看的网站的首页是完全空白的,没有提供任何内容-然而,该网站有不同的页面托管在不同的额外目录上,如下所示:

aquavpn(dot)com/UyqJr
aquavpn(dot)com/7CUXA
aquavpn(点)com/IpgpR
aquavpn com/uWpD7(点)
aquavpn com/8mTsD/(点)

这可能不是一个详尽的列表,其中许多提供了不同的文件-但我们将得到它。

通常,提供的页面看起来像这样:

VPN站点

它列出了做一些对普通终端用户来说有点技术性的事情的各个方面:“加载初始数据库服务器”、“加载环境变量工作区”、“将数据解析到服务器并启动VPN国家”。

这一切都令人印象深刻,直到你意识到正在发生的事情的概要和下方绿色滚动条“正在发生什么”都是一个名为secure-jar(dot)com网站托管的GIF图像文件。

GIF文件?隐马尔可夫模型。。

事实上,许多附加的页面元素,如页面顶部的“Register | Login”栏,都只是. gif图像文件。如果点击的是静态图像,人们如何登录、注册或做其他事情呢?

无论如何,让我们看看上图的最后一部分是怎么说的:

“加载和验证Java小程序:等待确认”

点击页面的各种非图像文件方面,例如可用的服务器将弹出以下消息:

运行applet

“请运行Java小程序以连接到AquaVPN”

点击connect to server(连接到服务器)按钮,结果与您预期的非常接近–一个Java提示符:

Java需要你的许可……

“Java(TM)需要您的许可才能运行”

下面是与Applet相关的HTML代码:

小应用程序代码

上述代码提供的可执行文件声称是“视频源下载程序”。

如果最终用户运行它,可执行文件将将两个文件放入以下目录中:

【用户名】/ AppData /漫游

这些文件的名称如下:

LoLReplay |文件| 1kb
测试|应用| 1,316kb

这里发生了什么是最终用户键盘记录-他们输入的所有东西,他们访问的每个网站,他们保存的文件(如充满密码的记事本文件-永远不要这样做)都存储在上面的“LoLReplay”文件中。下面只看一下该文件获取的一些内容:

键盘记录!

即使是打字错误也不安全(看看下面这张照片的文字底线):

拼写错误?记录。

At time of writing, we’re still waiting to see if this sends harvested information back to base – it’s entirely possible that this is a dry run and doesn’t send it anywhere (you do end up with a file on board called “test”, after all). Even so, this isn’t a good thing to have on board and could potentially open the gateway for additional Malware components being downloaded onto the system.

说到文件,您可以在VirusTotal页面上看到关于初始可执行文件的更多信息,该页面将其标记为29/47.Malwareby必威平台APPtes反恶意软件的用户会发现我们检测到它是木马。msil。

该网站已经在Urlquery上列出了很多次,这是一个很好的方法,可以发现他们提供的各种identikit页面[1], [2], [3.], [4], [5]. Siteadvisor已将其列为大红色“X”,信托网将其标记为“很穷,它有一个条目hpHosts数据库它达到了a的高度100/100恶意评级在Zscaler Zulu URL风险分析器上。

还有一个Jagex页面(Runescape的创建者)提供了某种以Runescape为主题的机器人,我们甚至还发现了一种网络摄像头服务——同样,图像托管在secure jar(dot)com上:

网络摄像头页面

最后,我们甚至看到了YouTube视频广告“免费Xbox One游戏”:

免费游戏?

点击这个链接,终端用户就会进入一个叫做“Teen Talk”的聊天室——和往常一样,这个聊天室希望你运行Java小程序,同时提供由secure-java(dot)com提供的图像。

有史以来最糟糕的免费xbox游戏

以上任何一项与VPN服务有什么关系,我不是很确定。

我们能够要确定的是,你应该总是在注册任何声称提供隐私服务,但最终只会剥夺你的隐私的网站之前,先在网上核实一下。

克里斯托弗·博伊德(感谢杰罗姆和亚当提供更多信息)