Virüsten koruma sağlayıcısı Bitdefender, virüslü bir VPN yükleyici aracılığıyla İranlı kullanıcıların verilerini çalan casus yazılımların keşfedildiğini ortaya çıkardı.
Şirketin siber güvenlik firması Blackpoint ile ortak araştırması, İran yapımı EyeSpy kötü amaçlı yazılımının bileşenlerinin “VPN yazılımının (yine İran’da geliştirilen) Trojanlı yükleyicileri aracılığıyla” enjekte edildiğini buldu.
Hedeflerin çoğu ülke sınırları içindeydi, yalnızca birkaç kurbanın Almanya ve ABD’de bulunduğu tespit edildi.
Bu, özellikle en iyi VPN hizmetlerinden birini kullanmanın giderek bir zorunluluk haline geldiği İran gibi bir ülkede endişe vericidir. Bu, sıkı çevrimiçi sansürü aşmak veya tehlikeli devlet gözetiminden kaçınmak için anonimliği korumak için olsun. Büyük olasılıkla, her ikisinin bir karışımı.
Aynı zamanda, İran VPN hizmetlerine yönelik sert bir baskı, insanları güvenli olmayan üçüncü taraf satıcı sitelerine itebilir. Bu, böyle bir casus yazılım kampanyasını İranlıların mahremiyeti ve güvenliği için daha da tehlikeli hale getiriyor.
Anti-muhalif yazılım?
“Son olayların ışığında, hedeflerin, ülkedeki dijital karantinayı aşmak için bir VPN aracılığıyla internete erişmek isteyen İranlılar olması muhtemel. Bu tür kötü niyetli yükleyiciler, rejim için tehdit oluşturan kişilere casus yazılım yerleştirebilir.” Bitdefender’ın raporu (yeni sekmede açılır) not alınmış.
İran merkezli SecondEye firması tarafından geliştirilen EyeSpy, işletmelerin uzaktan çalışan çalışan faaliyetlerini izlemenin bir yolu olarak satılan yasal bir izleme yazılımıdır.
Saldırganların, İran merkezli VPN hizmeti 20Speed’i indiren kullanıcılara bulaşmak ve faaliyetlerini gözetlemek için yasal uygulamanın bileşenlerini kötü niyetli bir şekilde kullandıkları gözlemlendi.
Bir cihaza enjekte edildikten sonra, kötü amaçlı yazılım neredeyse her etkinliği gözetleyebilir ve tonlarca hassas veri toplayabilir. Bunlar, saklanan parolaları, kripto cüzdan verilerini, belgeleri ve görüntüleri, panodaki içerikleri ve tuş basma günlüklerini içerir.
Bitdefender, “Kötü amaçlı yazılımın bileşenleri, sistemden hassas bilgileri çalan ve bunları SecondEye’a ait bir FTP sunucusuna yükleyen komut dosyalarıdır.”
“Bu, hesapların tamamen ele geçirilmesine, kimlik hırsızlığına ve mali kayba yol açabilir. Ayrıca saldırganlar, tuşlara basarak kurbanın sosyal medyada veya e-postada yazdığı mesajları elde edebilir ve bu bilgiler kurbanlara şantaj yapmak için kullanılabilir.”
Kampanya, Eylül ayında başlayan hükümet karşıtı protesto dalgasının ardından artan sayıda saldırı ile Mayıs 2022’den beri aktif görünüyor.
Bunu takiben İran’daki VPN indirmeleri fırladı ve ay sonunda %3.000’den fazla artışla zirveye ulaştı.
Bir VPN büyük ölçüde İran vatandaşları tarafından Instagram ve WhatsApp gibi kısıtlı uygulamalara erişmek için kullanılıyor. Ancak hükümet, muhalifleri ölüm cezasına varan ağır cezalarla giderek daha fazla suçlarken, hassas verileri korumak için ekstra güvenlik yazılımları da bir zorunluluktur.
Giderek daha fazla İranlı cihazlarına sanal bir özel ağ indirirken, sonuç olarak yetkililer güvenilir VPN hizmetlerine neredeyse hiç müdahale etmiyor.
Pek çok sağlayıcı şu anda İran’da engelleniyor, bu da üçüncü taraf VPN yükleyicilerinin popülaritesinin arttığı anlamına geliyor. Göre İran Uluslararası (yeni sekmede açılır), 20Speed VPN aslında İranlıların VPN aboneliklerini satın almak için yöneldiği en popüler web sitelerinden biridir. 100.000’den fazla aktif kurulum Android VPN uygulaması.
Bitdefender uzmanları, bu tür kötü amaçlı yazılım kampanyalarına karşı savaşmak için “yasal kaynaklardan indirilen iyi bilinen VPN çözümlerinin kullanılmasını öneriyor. Ayrıca, Bitdefender gibi bir güvenlik çözümü bilgi hırsızlarına karşı koruma sağlayabilir.”