Ngày 13 tháng 1 năm 2023Ravie LakshmananVPN / Phần mềm giám sát
Trình cài đặt VPN bị nhiễm độc đang được sử dụng để cung cấp một phần mềm giám sát có tên Nhìn lén như một phần của chiến dịch phần mềm độc hại bắt đầu vào tháng 5 năm 2022.
Nó sử dụng “các thành phần của SecondEye – một ứng dụng giám sát hợp pháp – để theo dõi người dùng 20Speed VPN, một dịch vụ VPN có trụ sở tại Iran, thông qua các trình cài đặt trojan”, Bitdefender cho biết trong một phân tích.
Phần lớn các vụ lây nhiễm được cho là bắt nguồn từ Iran, với các trường hợp phát hiện nhỏ hơn ở Đức và Mỹ, công ty an ninh mạng Romania cho biết thêm.
SecondEye, theo các ảnh chụp nhanh được chụp qua Lưu trữ Internet, tuyên bố là một phần mềm giám sát thương mại có thể hoạt động như một “hệ thống kiểm soát của phụ huynh hoặc như một cơ quan giám sát trực tuyến.” Kể từ tháng 11 năm 2021, nó được rao bán với giá từ 99 đô la đến 200 đô la.
Nó đi kèm với một loạt các tính năng cho phép nó chụp ảnh màn hình, ghi âm micrô, ghi lại các lần gõ phím, thu thập tệp và mật khẩu đã lưu từ trình duyệt web cũng như điều khiển máy từ xa để chạy các lệnh tùy ý.
SecondEye trước đó đã bị phát hiện vào tháng 8 năm 2022, khi Blackpoint Cyber tiết lộ việc các tác nhân đe dọa sử dụng các mô-đun phần mềm gián điệp và cơ sở hạ tầng của nó để lưu trữ dữ liệu và tải trọng.
Chuỗi tấn công mới nhất bắt đầu khi một người dùng cả tin tải xuống một tệp thực thi độc hại từ trang web của 20Speed VPN, cho thấy hai tình huống có thể xảy ra: Máy chủ của họ đã bị xâm phạm để lưu trữ phần mềm gián điệp hoặc đó là một nỗ lực có chủ ý nhằm theo dõi những cá nhân có thể tải xuống ứng dụng VPN để vượt qua mất điện internet trong nước.
Sau khi được cài đặt, dịch vụ VPN hợp pháp sẽ được khởi chạy, đồng thời lén lút khởi động một loạt các hoạt động bất chính trong nền để thiết lập tính bền vững và tải xuống các tải trọng giai đoạn tiếp theo để thu thập dữ liệu cá nhân từ máy chủ.
Nhà nghiên cứu Janos Gergo Szeles của Bitdefender cho biết: “EyeSpy có khả năng xâm phạm hoàn toàn quyền riêng tư trực tuyến thông qua keylogging và đánh cắp thông tin nhạy cảm, chẳng hạn như tài liệu, hình ảnh, ví tiền điện tử và mật khẩu”. “Điều này có thể dẫn đến việc tiếp quản hoàn toàn tài khoản, đánh cắp danh tính và tổn thất tài chính.”
