Bozuk VPN yükleyicileri, şu adla adlandırılan bir gözetim yazılımı parçasını teslim etmek için kullanılıyor: Göz Casusu Mayıs 2022’de başlayan bir kötü amaçlı yazılım kampanyasının parçası olarak.
Bitdefender, “İran tabanlı bir VPN hizmeti olan 20Speed VPN kullanıcılarını truva atı haline getirilmiş yükleyiciler aracılığıyla gözetlemek için meşru bir izleme uygulaması olan SecondEye bileşenlerini” kullanıyor. dedim bir analizde.
Rumen siber güvenlik firması, enfeksiyonların çoğunun İran’dan kaynaklandığının söylendiğini, Almanya ve ABD’de daha küçük tespitlerin yapıldığını da sözlerine ekledi.
SecondEye’a göre anlık görüntüler İnternet Arşivi aracılığıyla yakalanan, “ebeveyn kontrol sistemi veya çevrimiçi bekçi köpeği” olarak çalışabilen ticari bir izleme yazılımı olduğunu iddia ediyor. Kasım 2021 itibariyle, 99 ila 200 ABD Doları arasında herhangi bir yerde satışa sunuluyor.
Ekran görüntüsü almasına, mikrofon kaydetmesine, tuş vuruşlarını günlüğe kaydetmesine, web tarayıcılarından dosya ve kayıtlı şifreleri toplamasına ve keyfi komutları çalıştırmak için makineleri uzaktan kontrol etmesine olanak tanıyan çok çeşitli özelliklerle birlikte gelir.
SecondEye daha önce Ağustos 2022’de Blackpoint Cyber meydana çıkarmak tehdit aktörlerinin casus yazılım modüllerini ve altyapısını veri ve yük depolaması için kullanması.
En son saldırı zinciri, şüphelenmeyen bir kullanıcının 20Speed VPN’in web sitesinden kötü amaçlı bir yürütülebilir dosyayı indirmesiyle başlar ve bu da iki olası senaryoya işaret eder: Ya sunucularının casus yazılımı barındırmak için ihlal edilmesi ya da VPN uygulamalarını indirebilecek kişileri gözetlemeye yönelik kasıtlı bir girişim. kalp ameliyati internet kesintileri ülkede.
Bir kez kurulduktan sonra meşru VPN hizmeti başlatılırken, kalıcılık sağlamak ve ana bilgisayardan kişisel verileri toplamak için bir sonraki aşama yüklerini indirmek amacıyla arka planda bir dizi kötü niyetli faaliyeti gizlice başlatır.
Bitdefender araştırmacısı Janos Gergo Szeles, “EyeSpy, keylogging ve belgeler, resimler, kripto cüzdanları ve şifreler gibi hassas bilgilerin çalınması yoluyla çevrimiçi gizliliği tamamen tehlikeye atma yeteneğine sahiptir.” Dedi. “Bu, hesapların tamamen ele geçirilmesine, kimlik hırsızlığına ve mali kayba yol açabilir.”