- 13,858
- 20
- 8 Ноя 2022
Кампания направлена на шпионаж за иранцами, которые пытаются обойти ограничения интернета в стране.
Исследователи кибербезопасности Для просмотра ссылки Войди
" data-html="true" data-original-title="VPN" >VPN[/URL] используются для доставки шпионского ПО EyeSpy.
В отчете Bitdefender говорится, что вредоносная кампания использует «компоненты легитимного приложения для мониторинга SecondEye для слежки за пользователями иранского VPN-сервиса 20Speed VPN с помощью троянизированных установщиков. Большинство заражений происходит в Иране, в Германии и США – в меньшей степени.
Коммерческое ПО SecondEye предназначено для мониторинга активности, которое может работать как система родительского контроля. SecondEye может:
- делать снимки экрана;
- записывать звук с микрофона;
- регистрировать нажатия клавиш;
- собирать файлы и сохраненные пароли из веб-браузеров;
- удаленно управлять компьютером для выполнения произвольных команд.
Цепочка атаки Цепочка атак начинается, когда ничего не подозревающий пользователь загружает вредоносный исполняемый файл с веб-сайта 20Speed VPN, что указывает на два вероятных сценария: либо серверы сайт были взломаны для размещения шпионского ПО, либо это преднамеренная попытка шпионить за иранцами, которые загружают VPN для обхода отключений интернета в стране.
После установки легитимный VPN-сервис запускается, а также незаметно выполняет вредоносные команды в фоновом режиме, чтобы установить постоянство в системе и загрузить полезную нагрузку следующего этапа для сбора личных данных с хоста.
Исследователи Bitdefender заключиили, что EyeSpy может полностью скомпрометировать конфиденциальность в Интернете с помощью кейлогинга и кражи конфиденциальной информации, такой как документы, изображения, криптокошельки и пароли. Это может привести к полному захвату учетных записей, краже личных данных и финансовым потерям.
- Источник новости
- www.securitylab.ru
