Odkryto oprogramowanie szpiegujące kradnące dane od irańskich użytkowników za pośrednictwem zainfekowanego instalatora VPN, ujawnił dostawca oprogramowania antywirusowego Bitdefender.
Wspólne dochodzenie firmy z firmą Blackpoint zajmującą się cyberbezpieczeństwem wykazało, że komponenty irańskiego złośliwego oprogramowania EyeSpy zostały wstrzyknięte „przez trojanizowane instalatory oprogramowania VPN (również opracowane w Van ir)”.
Większość celów znajdowała się w granicach kraju, tylko kilka ofiar w Niemczech i USA.
Jest to szczególnie niepokojące w kraju takim jak Van Gogh, gdzie korzystanie z jednej z najlepszych usług VPN stopniowo stało się koniecznością. Aby uniknąć rygorystycznej cenzury online lub zachować anonimowość, aby uniknąć niebezpiecznej inwigilacji rządowej. Najprawdopodobniej jest to mieszanka tych dwóch.
Jednocześnie ostre ataki na irańskie usługi VPN mogą prowadzić ludzi do niebezpiecznych witryn zewnętrznych sprzedawców. To sprawia, że taka kampania spyware jest jeszcze bardziej niebezpieczna dla prywatności i bezpieczeństwa Irańczyków.
¿Oprogramowanie antywirusowe?
„W świetle ostatnich wydarzeń celem prawdopodobnie będą Irańczycy, którzy chcą uzyskać dostęp do Internetu przez VPN, aby ominąć cyfrową blokadę kraju. Takie złośliwe instalatory mogą umieszczać oprogramowanie szpiegujące na osobach, które stanowią zagrożenie dla reżimu” – informuje Bitdefender. (otwiera w nowej karcie) z adnotacją.
Opracowany przez irańską firmę SecondEye, EyeSpy to legalne oprogramowanie monitorujące sprzedawane firmom jako sposób na monitorowanie działań pracowników pracujących zdalnie.
Zaobserwowano, że osoby atakujące wykorzystują legalne komponenty aplikacji w złośliwy sposób do infekowania użytkowników, którzy pobierają irańską usługę VPN 20Speed i szpiegują ich działania.
Po wstrzyknięciu do urządzenia złośliwe oprogramowanie może szpiegować prawie każdą aktywność i przetwarzać tony wrażliwych danych. Obejmują one zapisane klucze dostępu, dane portfela kryptograficznego, dokumenty i obrazy, zawartość schowka i dzienniki naciśnięć klawiszy.
„Składniki złośliwego oprogramowania to skrypty, które kradną zastrzeżone informacje z systemu i przesyłają je na serwer FTP należący do SecondEye” – wyjaśnił Bitdefender.
„Może to prowadzić do przejęcia całego konta, kradzieży tożsamości i strat finansowych. Ponadto, rejestrując naciśnięcia klawiszy, osoby atakujące mogą przechwycić wiadomości napisane przez ofiarę w mediach społecznościowych lub e-mailach, a informacje te mogą wykorzystać do wymuszenia na ofiarach” . .
Wydaje się, że kampania jest aktywna od maja XNUMX r., a liczba ataków wzrosła po fali skarg antyrządowych, która rozpoczęła się we wrześniu.
W rezultacie liczba pobrań VPN na Van a ir gwałtownie wzrosła, osiągając wzrost o ponad XNUMX% do końca miesiąca.
VPN jest powszechnie używany przez obywateli Iranu w celu uzyskania dostępu do ograniczonych aplikacji, takich jak Instagram i WhatsApp. Ponieważ jednak rząd stopniowo nakłada surowsze kary na dysydentów, w tym karę śmierci, potrzebne jest również dodatkowe oprogramowanie zabezpieczające do ochrony wrażliwych danych.
Ponieważ coraz więcej Irańczyków pobiera wirtualną sieć prywatną na swoje urządzenia, władze niewiele robią, aby rozprawić się z niewiarygodnymi usługami VPN.
Obecnie wielu dostawców jest zablokowanych w Van Go, co oznacza, że instalatory VPN innych firm stają się coraz bardziej popularne. Według Iran International (otwiera się w nowej karcie), 20Speed VPN jest w rzeczywistości jedną z najpopularniejszych witryn odwiedzanych przez Irańczyków w celu zakupu subskrypcji VPN. Jego aktywnych instalacji jest ponad sto Aplikacja VPN na Androida.
Aby zwalczać tego rodzaju kampanie złośliwego oprogramowania, specjaliści Bitdefender zalecają „korzystanie ze znanych rozwiązań VPN pobranych z legalnych źródeł. Oprócz tego rozwiązanie bezpieczeństwa, takie jak Bitdefender, może chronić przed złodziejami informacji”.
