EyeSpy Spyware IOCs

Spyware IOC

За последние несколько лет потребительские VPN-решения пережили взрывной рост. Эти вездесущие утилиты помогают пользователям сохранять конфиденциальность интернет-трафика, анонимно пользоваться интернетом и обходить ограничения или цензуру. И если в большинстве стран мира эта технология воспринимается как должное, то пользователям в определенных регионах - например, жителям Ирана - приходится перепробовать десятки приложений, прежде чем они найдут то, которое (все еще) способно обойти ограничения провайдера. И если некоторые VPN поддельные или заблокированы, то некоторые другие намеренно снабжены вредоносным ПО.

Во время обычного анализа эффективности обнаружения Bitdefender заметили группу процессов, в названиях которых прослеживалась одна и та же закономерность. Эти имена начинаются с sys, win или lib, затем следует слово, описывающее функциональность, например bus, crt, temp, cache, init, и заканчиваются 32.exe. Позже заметили, что .bat-файлы и загруженные полезные нагрузки имеют одинаковые имена. Дальнейшее расследование показало, что эти компоненты являются частью приложения для мониторинга под названием SecondEye, разработанного в Иране и легально распространяемого через веб-сайт разработчика. Мы также обнаружили, что некоторые компоненты шпионского ПО уже были описаны в статье, опубликованной компанией Blackpoint. В статье исследователи обратили внимание на опасность легально распространяемых программ мониторинга с вредоносным поведением.

Исследователи Bitdefender, как и исследователи Blackpoint, обнаружили, что в кампаниях использовались компоненты пакета SecondEye и их инфраструктура. Однако эти компоненты поставлялись не через легальный установщик SecondEye, а через троянские установщики программного обеспечения VPN (также разработанного в Иране), которые передавали шпионские компоненты вместе с продуктом VPN.

  • Компания Bitdefender обнаружила вредоносную кампанию, использующую компоненты SecondEye - легального приложения для мониторинга - для слежки за пользователями 20Speed VPN, иранского VPN-сервиса, через троянские программы установки.
  • EyeSpy способен полностью нарушить конфиденциальность в Интернете путем прослушивания клавиатуры и кражи конфиденциальной информации, такой как документы, изображения, криптокошельки и пароли.
  • Кампания началась в мае 2022 года, но пик обнаружений пришелся на август и сентябрь. Большинство обнаружений происходит из Ирана, небольшое количество жертв - в Германии и США.

Indicators of Compromise

IPv4

  • 213.232.124.157
  • 94.130.247.148

URLs

  • https://20paper.live
  • https://20ten.live
  • https://20speed.co

MD5

  • 06938804402873a8d66a6ff534128b91
  • 3197a97fa6e5544be3fdb0f4c847b472
  • 3b6a5be292249a33f2388f6bf334e9ac
  • 4135ba76781b3f3f61db132998a3159e
  • 41bfc10caa0850b017c8d24cf86fbac2
  • 4a8d7229da52d74f9f2f7b152f22d935
  • 4bae615f5e0e21a90315d9a225c49bed
  • 55643e7ec7ddf259f36f67a6c176cdfe
  • 5decd6865132795c69f3fb78570d5815
  • 8442ca787f1dbf64f9d6b837eb93e70a
  • 904680220f5c1737fb7a30f8260997c6
  • 92ff4d8f08578e8c4f347125ac5bf989
  • 9b48dbb99f7c1943b7dd195180877559
  • 9dfe22da4f0115552c917fb2f3b3d38a
  • ad5ee13025e154d704322dd4f94d6f16
  • be9f4c625a8450c28450d149d054861f
  • cbd328ee76edd19192346841bc072f8d
  • cf2446297eb0011bcd4e15ea7074a536
  • d1397ff21b376f95e41e200207ecf126
  • e6c76cf8e42ca5e0bf2b270be0c5b35b
  • e8453572fcecf515b34518a0514d0728
  • ef95b8681e271a981b751acd97d5524f
  • f085ed51d61319548519e940e28d7cd4
  • f25a07686aa75a33a7e6a3db45ba8bfb
  • fee03c711f98c4b480d09b5eae1d71e1

Technical report

SEC-1275-1
Добавить комментарий