VPN riešenia pre domácnosti zaznamenali v posledných niekoľkých rokoch prudký rast. Tieto všade-prítomné nástroje pomáhajú používateľom udržiavať ich internetovú prevádzku v súkromí, surfovať anonymne a obchádzať obmedzenia alebo cenzúru. A zatiaľ čo väčšina sveta považuje túto technológiu za samozrejmosť, používatelia v špecifických regiónoch - napríklad ľudia v Iráne - musia vyskúšať desiatky aplikácií, než nájdu tú, ktorá (ešte) dokáže obísť obmedzenia poskytovateľov internetových služieb. A zatiaľ čo niektoré VPN sú falošné alebo blokované, niektoré iné sú zámerne prešpikované malwarom.
Súvislosti
Počas rutinnej analýzy detekčného výkonu sme si všimli skupiny procesov, ktoré dodržiavali rovnaký vzor v názvoch procesov. Tieto názvy začínali slovami sys, win alebo lib, za ktorými nasledovalo slovo popisujúce funkciu, napríklad bus, crt, temp, cache, init, a končili na 32.exe. Neskôr sme si všimli, že súbory .bat a stiahnuté užitočné súbory rešpektujú rovnakú konvenciu pomenovania. Ďalšie vyšetrovanie odhalilo, že komponenty sú súčasťou monitorovacej aplikácie SecondEye, vyvinutej v Iráne a legálne distribuovanej prostredníctvom webových stránok vývojárov. Zistili sme tiež, že niektoré komponenty spywaru už boli popísané v článku publikovanom spoločnosťou Blackpoint. V článku výskumníci upozorňovali na nebezpečenstvo legálne šíreného monitorovacieho softvéru so škodlivým správaním.
Naši vlastní bádatelia, rovnako ako výskumníci Blackpoint, zistili, že kampane využívali komponenty sady SecondEye a ich infraštruktúru. Tieto komponenty však neboli dodávané prostredníctvom legitímneho inštalátora SecondEye, ale skôr prostredníctvom trójskych inštalátorov softvéru VPN (tiež vyvinutého
v Iráne), ktoré spolu s produktom VPN spúšťali aj komponenty spywaru.
Prehľad útoku
Btdefender odhalil malwarovú kampaň, ktorá využíva súčasti SecondEye - legitímne monitorovacie aplikácie - na špehovanie užívateľov 20Speed VPN, iránske služby VPN, prostredníctvom trójskych inštalátorov.
EyeSpy dokáže plne kompromitovať online súkromie prostredníctvom zaznamenávania klávesov a krádeže citlivých informácií, ako sú dokumenty, obrázky, kryptopeňaženky a heslá.
Kampaň sa začala v máji 2022, ale vrchol detekcií nastal v auguste a septembri. Väčšina týchto detekcií pochádza z Iránu, malá skupina obetí je v Nemecku a USA.
Indikátory kompromisu
Užívatelia služby Bitdefender Advanced Threat Intelligence majú k dispozícii aktuálny a úplný zoznam indikátorov kompromitácie. Aktuálne známe indikátory kompromitácie nájdete v nižšie uvedenom dokumente.
Comments