Los instaladores de VPN corruptos se estan utilizando para entregar un software de vigilancia denominado EyeSpy como parte de una campaña de malware que comenzo en mayo de 2022.
Utiliza “componentes de SecondEye, una aplicacion de monitoreo legitima, para espiar a los usuarios de 20Speed VPN, un servicio VPN con sede en Iran, a traves de instaladores troyanos, dijo Bitdefender en un analisis.
Se dice que la mayoria de las infecciones se originan en Iran, con detecciones mas pequeñas en Alemania y EE. UU., agrego la firma rumana de ciberseguridad.
SecondEye, segun las instantaneas capturadas a traves de Internet Archive, afirma ser un software de monitoreo comercial que puede funcionar como un sistema de control parental o como un perro guardian en linea. A partir de noviembre de 2021, se ofrece a la venta entre $ 99 y $ 200.
Viene con una amplia gama de funciones que le permiten tomar capturas de pantalla, grabar microfonos, registrar pulsaciones de teclas, recopilar archivos y contraseñas guardadas de navegadores web y controlar de forma remota las maquinas para ejecutar comandos arbitrarios.
SecondEye paso desapercibido previamente en agosto de 2022, cuando Blackpoint Cyber revelo el uso de sus modulos e infraestructura de software espia para el almacenamiento de datos y carga util por parte de actores de amenazas desconocidos. Actualmente se desconoce el mecanismo de acceso inicial utilizado en estos incidentes.
Bogdan Botezatu, director de investigacion e informes de amenazas en Bitdefender, dijo a The Hacker News que, a pesar del uso de los mismos componentes de spyware, no hay suficiente evidencia para conectar los dos conjuntos de actividades en una sola campaña.
La ultima cadena de ataque comienza cuando un usuario desprevenido descarga un ejecutable malicioso del sitio web de 20Speed VPN, lo que indica dos escenarios plausibles: sus servidores fueron violados para alojar el software espia o es un intento deliberado de espiar a las personas que podrian descargar aplicaciones VPN para eludir apagones de internet en el pais.
Una vez instalado, se inicia el servicio VPN legitimo, al mismo tiempo que inicia sigilosamente un tren de actividades nefastas en segundo plano para establecer la persistencia y descargar las cargas utiles de la proxima etapa para recopilar datos personales del host.
EyeSpy tiene la capacidad de comprometer completamente la privacidad en linea a traves del registro de teclas y el robo de informacion confidencial, como documentos, imagenes, billeteras criptograficas y contraseñas, dijo el investigador de Bitdefender, Janos Gergo Szeles. Esto puede conducir a adquisiciones de cuentas completas, robo de identidad y perdidas financieras.
FUENTE: THN