Специалисты по информационной безопасности компании BitDefender выяснили, что с мая 2022 года зараженные установщики VPN применяются для доставки шпионского софта EyeSpy. В опубликованном фирмой BitDefender отчёте сказано о том, что в ходе реализации вредоносных кампаний наблюдается использование легитимной программы для мониторинга SecondEye для слежки за пользователями популярного на Ближнем Востоке VPN-сервиса 20Speed VPN с применением троянизированных установщиков.
Как отмечают в BitDefender, большая часть заражений происходит на территории Ирана, США и Германии. Программное обеспечение SecondEye используется для мониторинга активности — оно может функционировать в качестве системы родительского контроля. Сама программа способна:
- делать скриншоты экрана;
- выполнять запись звука с микрофона;
- фиксировать нажатия клавиш;
- осуществлять сбор файлов и сохранённых паролей из браузеров;
- дистанционно управлять ПК для выполнения произвольных команд.
В компании BitDefender подчеркнули, что цепочка кибератак начинается, когда пользователь скачивает вредоносный исполняемый файл с официального сайта 20 Speed VPN. Сам факт заражения скачанной с официального сайта программы говорит о том, что серверы разработчика были взломаны для использования шпионского софта, либо же это преднамеренная попытка шпионажа за гражданами Ирана и других стран, которые выполняют загрузку VPN-сервиса для обхода ограничений в интернете.
После того как программа будет установлена пользователем и запущен легитимный VPN-сервис, вместе с ним происходит и выполнение вредоносных команд в фоновом режиме для установления постоянства в системе и скачивания полезной нагрузки для обеспечения следующего этапа атаки для сбора личной информации с хоста.
Специалисты из Defender резюмировали, что легитимное ПО EyeSpy может компрометировать конфиденциальность пользователей в интернете с использованием кейлогинга и кражи конфиденциальных данных (таких как документация, изображения, криптокошельки и учётные данные). Такие атаки могут привести к тому, что третьи лица получат полный контроль над учётными записями пользователей и украдут их персональные и платёжные данные.
