Los instaladores de VPN contaminados se están utilizando para entregar una pieza de vigilancia denominada EyeSpy como parte de una campaña de malware que comenzó en mayo de 2022.
Utiliza “componentes de SecondEye, una aplicación de monitoreo legítima, para espiar a los usuarios de 20Speed VPN, un servicio VPN con sede en Irán, a través de instaladores troyanos”, dijo Bitdefender en un análisis.
Se dice que la mayoría de las infecciones se originan en Irán, con detecciones más pequeñas en Alemania y Estados Unidos, agregó la firma rumana de ciberseguridad.
SecondEye, según las instantáneas capturadas a través de Internet Archive, afirma ser un software de monitoreo comercial que puede funcionar como un “sistema de control parental o como un perro guardián en línea”. A partir de noviembre de 2021, se ofrece a la venta entre $ 99 y $ 200.
Viene con una amplia gama de características que le permiten tomar capturas de pantalla, grabar micrófonos, registrar pulsaciones de teclas, recopilar archivos y contraseñas guardadas de navegadores web y controlar de forma remota las máquinas para ejecutar comandos arbitrarios.
SecondEye estuvo previamente bajo el radar en agosto de 2022, cuando Blackpoint Cyber reveló el uso de sus módulos de spyware e infraestructura para el almacenamiento de datos y carga útil por parte de actores de amenazas desconocidos. Actualmente se desconoce el mecanismo de acceso inicial utilizado en estos incidentes.
Bogdan Botezatu, director de investigación e informes de amenazas de Bitdefender, dijo que, a pesar del uso de los mismos componentes de spyware, no hay suficiente evidencia para conectar los dos conjuntos de actividades a una sola campaña.
La última cadena de ataque comienza cuando un usuario desprevenido descarga un ejecutable malicioso del sitio web de 20Speed VPN, lo que indica dos escenarios plausibles: o que sus servidores fueron violados para alojar el spyware o es un intento deliberado de espiar a las personas que podrían descargar aplicaciones VPN para evitar los apagones de Internet en el país.
Una vez instalado, se inicia el servicio VPN legítimo, al tiempo que inicia sigilosamente un tren de actividades nefastas en segundo plano para establecer la persistencia y descargar cargas útiles de la siguiente etapa para recopilar datos personales del host.
“EyeSpy tiene la capacidad de comprometer completamente la privacidad en línea a través del registro de teclas y el robo de información confidencial, como documentos, imágenes, billeteras criptográficas y contraseñas”, dijo el investigador de Bitdefender Janos Gergo Szeles. “Esto puede llevar a adquisiciones completas de cuentas, robo de identidad y pérdidas financieras”.
