随着斯诺登/NSA泄密事件的持续影响,VPN服务的需求可能从未如此之大。在试图把你的眼睛从你的日常事务中抹去的时候,这些都是很方便的事情,每个人都应该至少考虑一下事情的来龙去脉。在船上跳跃.
然而,这并不意味着你应该放松警惕——正如我们即将看到的那样,有时试图让自己更安全可能最终会犯下可怕的错误。
今天我们来看看aquavpn(点)com,这是一个创建于2013年9月的网站,声称提供VPN服务。它是匿名注册的(使用Whois保护服务)。
几个月前,有人试图在Pastebin上宣传它:
此外,不久前有人在Reddit上提到:
“不过,不要点击广告。他们正在进行为期一周的试验。你们用什么?谢谢“,它说。
有趣的是,一种新形式的匿名服务目前正在进行中它的名字和这个一样——“水”。假设我们可以找到对新服务的引用早期的与上面的URL注册时相比,这可能是一种试图利用尚未发布的匿名工具的做法。
我们正在看的网站的首页是完全空白的,没有提供任何内容-然而,该网站有不同的页面托管在不同的额外目录上,如下所示:
aquavpn(dot)com/UyqJr
aquavpn(dot)com/7CUXA
aquavpn(点)com/IpgpR
aquavpn com/uWpD7(点)
aquavpn com/8mTsD/(点)
这可能不是一个详尽的列表,其中许多提供了不同的文件-但我们将得到它。
通常,提供的页面看起来像这样:
它列出了做一些对普通终端用户来说有点技术性的事情的各个方面:“加载初始数据库服务器”、“加载环境变量工作区”、“将数据解析到服务器并启动VPN国家”。
这一切都令人印象深刻,直到你意识到正在发生的事情的概要和下方绿色滚动条“正在发生什么”都是一个名为secure-jar(dot)com网站托管的GIF图像文件。
事实上,许多附加的页面元素,如页面顶部的“Register | Login”栏,都只是. gif图像文件。如果点击的是静态图像,人们如何登录、注册或做其他事情呢?
无论如何,让我们看看上图的最后一部分是怎么说的:
“加载和验证Java小程序:等待确认”
点击页面的各种非图像文件方面,例如可用的服务器将弹出以下消息:
“请运行Java小程序以连接到AquaVPN”
点击connect to server(连接到服务器)按钮,结果与您预期的非常接近–一个Java提示符:
“Java(TM)需要您的许可才能运行”
下面是与Applet相关的HTML代码:
上述代码提供的可执行文件声称是“视频源下载程序”。
如果最终用户运行它,可执行文件将将两个文件放入以下目录中:
【用户名】/ AppData /漫游
这些文件的名称如下:
LoLReplay |文件| 1kb
测试|应用| 1,316kb
这里发生了什么是最终用户键盘记录-他们输入的所有东西,他们访问的每个网站,他们保存的文件(如充满密码的记事本文件-永远不要这样做)都存储在上面的“LoLReplay”文件中。下面只看一下该文件获取的一些内容:
即使是打字错误也不安全(看看下面这张照片的文字底线):
At time of writing, we’re still waiting to see if this sends harvested information back to base – it’s entirely possible that this is a dry run and doesn’t send it anywhere (you do end up with a file on board called “test”, after all). Even so, this isn’t a good thing to have on board and could potentially open the gateway for additional Malware components being downloaded onto the system.
说到文件,您可以在VirusTotal页面上看到关于初始可执行文件的更多信息,该页面将其标记为29/47.Malwareby必威平台APPtes反恶意软件的用户会发现我们检测到它是木马。msil。
该网站已经在Urlquery上列出了很多次,这是一个很好的方法,可以发现他们提供的各种identikit页面[1], [2], [3.], [4], [5]. Siteadvisor已将其列为大红色“X”,信托网将其标记为“很穷,它有一个条目hpHosts数据库它达到了a的高度100/100恶意评级在Zscaler Zulu URL风险分析器上。
还有一个Jagex页面(Runescape的创建者)提供了某种以Runescape为主题的机器人,我们甚至还发现了一种网络摄像头服务——同样,图像托管在secure jar(dot)com上:
最后,我们甚至看到了YouTube视频广告“免费Xbox One游戏”:
点击这个链接,终端用户就会进入一个叫做“Teen Talk”的聊天室——和往常一样,这个聊天室希望你运行Java小程序,同时提供由secure-java(dot)com提供的图像。
以上任何一项与VPN服务有什么关系,我不是很确定。
我们能够要确定的是,你应该总是在注册任何声称提供隐私服务,但最终只会剥夺你的隐私的网站之前,先在网上核实一下。
克里斯托弗·博伊德(感谢杰罗姆和亚当提供更多信息)
评论