Bozuk VPN yükleyicileri, şu adla adlandırılan bir gözetim yazılımı parçasını teslim etmek için kullanılıyor: Göz Casusu Mayıs 2022’de başlayan bir kötü amaçlı yazılım kampanyasının parçası olarak.
Bitdefender bir analizde, “İran merkezli bir VPN hizmeti olan 20Speed VPN kullanıcılarını truva atı bulaşmış yükleyiciler aracılığıyla gözetlemek için meşru bir izleme uygulaması olan SecondEye bileşenlerini kullanıyor” dedi.
Rumen siber güvenlik firması, enfeksiyonların çoğunun İran’dan kaynaklandığının söylendiğini, Almanya ve ABD’de daha küçük tespitlerin yapıldığını da sözlerine ekledi.
İnternet Arşivi aracılığıyla yakalanan anlık görüntülere göre SecondEye, “ebeveyn kontrol sistemi veya çevrimiçi bekçi köpeği” olarak çalışabilen ticari bir izleme yazılımı olduğunu iddia ediyor. Kasım 2021 itibariyle, 99 ila 200 $ arasında herhangi bir yerde satışa sunuluyor.
Ekran görüntüsü almasına, mikrofon kaydetmesine, tuş vuruşlarını günlüğe kaydetmesine, web tarayıcılarından dosya ve kayıtlı şifreleri toplamasına ve keyfi komutları çalıştırmak için makineleri uzaktan kontrol etmesine olanak tanıyan çok çeşitli özelliklerle birlikte gelir.
SecondEye daha önce Ağustos 2022’de, Blackpoint Cyber’in tehdit aktörlerinin veri ve yük depolama için casus yazılım modüllerini ve altyapısını kullandığını ortaya çıkardığında radara girmişti.
En son saldırı zinciri, şüphelenmeyen bir kullanıcının 20Speed VPN’in web sitesinden kötü amaçlı bir yürütülebilir dosyayı indirmesiyle başlar ve bu da iki olası senaryoya işaret eder: Ya sunucularının casus yazılımı barındırmak için ihlal edildiği ya da VPN uygulamalarını atlamak için indirebilecek kişilere karşı kasıtlı bir casusluk girişimi olduğu. ülkede internet kesintisi
Kurulduktan sonra meşru VPN hizmeti başlatılırken, kalıcılık sağlamak ve ana bilgisayardan kişisel verileri toplamak için bir sonraki aşama yüklerini indirmek amacıyla arka planda bir dizi alçakça faaliyet başlatılır.
Bitdefender araştırmacısı Janos Gergo Szeles, “EyeSpy, keylogging ve belgeler, resimler, kripto cüzdanları ve şifreler gibi hassas bilgilerin çalınması yoluyla çevrimiçi gizliliği tamamen tehlikeye atma yeteneğine sahiptir.” Dedi. “Bu, hesapların tamamen ele geçirilmesine, kimlik hırsızlığına ve mali kayba yol açabilir.”