За последние несколько лет потребительские VPN-решения пережили взрывной рост. Эти вездесущие утилиты помогают пользователям сохранять конфиденциальность интернет-трафика, анонимно пользоваться интернетом и обходить ограничения или цензуру. И если в большинстве стран мира эта технология воспринимается как должное, то пользователям в определенных регионах - например, жителям Ирана - приходится перепробовать десятки приложений, прежде чем они найдут то, которое (все еще) способно обойти ограничения провайдера. И если некоторые VPN поддельные или заблокированы, то некоторые другие намеренно снабжены вредоносным ПО.
Во время обычного анализа эффективности обнаружения Bitdefender заметили группу процессов, в названиях которых прослеживалась одна и та же закономерность. Эти имена начинаются с sys, win или lib, затем следует слово, описывающее функциональность, например bus, crt, temp, cache, init, и заканчиваются 32.exe. Позже заметили, что .bat-файлы и загруженные полезные нагрузки имеют одинаковые имена. Дальнейшее расследование показало, что эти компоненты являются частью приложения для мониторинга под названием SecondEye, разработанного в Иране и легально распространяемого через веб-сайт разработчика. Мы также обнаружили, что некоторые компоненты шпионского ПО уже были описаны в статье, опубликованной компанией Blackpoint. В статье исследователи обратили внимание на опасность легально распространяемых программ мониторинга с вредоносным поведением.
Исследователи Bitdefender, как и исследователи Blackpoint, обнаружили, что в кампаниях использовались компоненты пакета SecondEye и их инфраструктура. Однако эти компоненты поставлялись не через легальный установщик SecondEye, а через троянские установщики программного обеспечения VPN (также разработанного в Иране), которые передавали шпионские компоненты вместе с продуктом VPN.
- Компания Bitdefender обнаружила вредоносную кампанию, использующую компоненты SecondEye - легального приложения для мониторинга - для слежки за пользователями 20Speed VPN, иранского VPN-сервиса, через троянские программы установки.
- EyeSpy способен полностью нарушить конфиденциальность в Интернете путем прослушивания клавиатуры и кражи конфиденциальной информации, такой как документы, изображения, криптокошельки и пароли.
- Кампания началась в мае 2022 года, но пик обнаружений пришелся на август и сентябрь. Большинство обнаружений происходит из Ирана, небольшое количество жертв - в Германии и США.
Indicators of Compromise
IPv4
- 213.232.124.157
- 94.130.247.148
URLs
- https://20paper.live
- https://20ten.live
- https://20speed.co
MD5
- 06938804402873a8d66a6ff534128b91
- 3197a97fa6e5544be3fdb0f4c847b472
- 3b6a5be292249a33f2388f6bf334e9ac
- 4135ba76781b3f3f61db132998a3159e
- 41bfc10caa0850b017c8d24cf86fbac2
- 4a8d7229da52d74f9f2f7b152f22d935
- 4bae615f5e0e21a90315d9a225c49bed
- 55643e7ec7ddf259f36f67a6c176cdfe
- 5decd6865132795c69f3fb78570d5815
- 8442ca787f1dbf64f9d6b837eb93e70a
- 904680220f5c1737fb7a30f8260997c6
- 92ff4d8f08578e8c4f347125ac5bf989
- 9b48dbb99f7c1943b7dd195180877559
- 9dfe22da4f0115552c917fb2f3b3d38a
- ad5ee13025e154d704322dd4f94d6f16
- be9f4c625a8450c28450d149d054861f
- cbd328ee76edd19192346841bc072f8d
- cf2446297eb0011bcd4e15ea7074a536
- d1397ff21b376f95e41e200207ecf126
- e6c76cf8e42ca5e0bf2b270be0c5b35b
- e8453572fcecf515b34518a0514d0728
- ef95b8681e271a981b751acd97d5524f
- f085ed51d61319548519e940e28d7cd4
- f25a07686aa75a33a7e6a3db45ba8bfb
- fee03c711f98c4b480d09b5eae1d71e1