Заражённые VPN-клиенты распространяют шпионское ПО

Исследователи кибербезопасности Bitdefender обнаружили , что с мая 2022 года заражённые установщики VPN используются для доставки шпионского ПО EyeSpy.

В отчете Bitdefender говорится, что вредоносная кампания использует «компоненты легитимного приложения для мониторинга SecondEye для слежки за пользователями иранского VPN-сервиса 20Speed ​​VPN с помощью троянизированных установщиков. Большинство заражений происходит в Иране, в Германии и США – в меньшей степени.

Коммерческое ПО SecondEye предназначено для мониторинга активности, которое может работать как система родительского контроля. SecondEye может:

• делать снимки экрана;
• записывать звук с микрофона;
• регистрировать нажатия клавиш;
• собирать файлы и сохраненные пароли из веб-браузеров;
• удаленно управлять компьютером для выполнения произвольных команд.

Цепочка атаки

Цепочка атак начинается, когда ничего не подозревающий пользователь загружает вредоносный исполняемый файл с веб-сайта 20Speed ​​VPN, что указывает на два вероятных сценария: либо серверы сайт были взломаны для размещения шпионского ПО, либо это преднамеренная попытка шпионить за иранцами, которые загружают VPN для обхода отключений интернета в стране.

После установки легитимный VPN-сервис запускается, а также незаметно выполняет вредоносные команды в фоновом режиме, чтобы установить постоянство в системе и загрузить полезную нагрузку следующего этапа для сбора личных данных с хоста.

Исследователи Bitdefender заключиили, что EyeSpy может полностью скомпрометировать конфиденциальность в Интернете с помощью кейлогинга и кражи конфиденциальной информации, такой как документы, изображения, криптокошельки и пароли. Это может привести к полному захвату учетных записей, краже личных данных и финансовым потерям.