VPN řešení pro domácnosti zaznamenaly v posledních několika letech prudký růst. Tyto všudypřítomné nástroje pomáhají uživatelům udržovat jejich internetový provoz v soukromí, surfovat anonymně a obcházet omezení nebo cenzuru. A zatímco většina světa považuje tuto technologii za samozřejmost, uživatelé ve specifických regionech - například lidé v Íránu - musí vyzkoušet desítky aplikací, než najdou tu, která (ještě) dokáže obejít omezení poskytovatelů internetových služeb. A zatímco některé VPN jsou falešné [zde je návod, jak rozpoznat falešnou aplikaci VPN] nebo blokované, některé jiné jsou záměrně prošpikované malwarem.
Souvislosti
Během rutinní analýzy detekčního výkonu jsme si všimli skupiny procesů, které dodržovaly stejný vzor v názvech procesů. Tyto názvy začínaly slovy sys, win nebo lib, za nimiž následovalo slovo popisující funkci, například bus, crt, temp, cache, init, a končily na 32.exe. Později jsme si všimli, že soubory .bat a stažené užitečné soubory respektují stejnou konvenci pojmenování. Další vyšetřování odhalilo, že komponenty jsou součástí monitorovací aplikace SecondEye, vyvinuté v Íránu a legálně distribuované prostřednictvím webových stránek vývojáře. Zjistili jsme také, že některé komponenty spywaru již byly popsány v článku publikovaném společností Blackpoint. V článku výzkumníci upozorňovali na nebezpečí legálně šířeného monitorovacího softwaru se škodlivým chováním.
Naši vlastní badatelé, stejně jako výzkumníci Blackpoint, zjistili, že kampaně využívaly komponenty sady SecondEye a jejich infrastrukturu. Tyto komponenty však nebyly dodávány prostřednictvím legitimního instalátoru SecondEye, ale spíše prostřednictvím trojských instalátorů softwaru VPN (rovněž vyvinutého v Íránu), které spolu s produktem VPN spouštěly i komponenty spywaru.
Přehled útoku
Btdefender odhalil malwarovou kampaň, která využívá součásti SecondEye - legitimní monitorovací aplikace - ke špehování uživatelů 20Speed VPN, íránské služby VPN, prostřednictvím trojských instalátorů.
EyeSpy dokáže plně kompromitovat online soukromí prostřednictvím zaznamenávání kláves a krádeže citlivých informací, jako jsou dokumenty, obrázky, kryptopeněženky a hesla.
Kampaň byla zahájena v květnu 2022, ale vrchol detekcí nastal v srpnu a září. Většina těchto detekcí pochází z Íránu, malá skupina obětí je v Německu a USA.
Indikátory kompromisu
Uživatelé služby Bitdefender Advanced Threat Intelligence mají k dispozici aktuální a úplný seznam indikátorů kompromitace. Aktuálně známé indikátory kompromitace naleznete v níže uvedeném dokumentu.
Comentarios