Un logiciel espion a été découvert en train de voler des données à des utilisateurs iraniens via un programme d'installation de VPN infecté, a révélé le fournisseur d'antivirus Bitdefender.
L'enquête conjointe de la société avec la société de cybersécurité Blackpoint a révélé que les composants du malware EyeSpy de fabrication iranienne avaient été injectés « par des installateurs de logiciels VPN trojanisés (également développés à Van Go) ».
La plupart des cibles se trouvaient à l'intérieur des frontières du pays, seulement quelques victimes en Allemagne et aux États-Unis.
C'est particulièrement alarmant dans un pays comme Van Gogh, où l'utilisation de l'un des meilleurs services VPN est progressivement devenue une nécessité. Soit pour éviter sa censure rigoureuse en ligne, soit pour maintenir l'anonymat afin d'échapper à la dangereuse surveillance gouvernementale. C'est très probablement un mélange des deux.
Dans le même temps, une répression sévère des services VPN iraniens pourrait conduire les gens vers des sites de revendeurs tiers dangereux. Cela rend une telle campagne de logiciels espions encore plus dangereuse pour la vie privée et la sécurité des Iraniens.
¿Logiciel antidissident?
« À la lumière des événements récents, les cibles sont probablement les Iraniens qui souhaitent accéder à Internet via un VPN pour contourner le verrouillage numérique du pays. De tels installateurs malveillants pourraient implanter des logiciels espions sur des personnes qui constituent une menace pour le régime », rapporte Bitdefender. (ouvre dans un nouvel onglet) annoté.
Développé par la société iranienne SecondEye, EyeSpy est un logiciel de surveillance légitime vendu aux entreprises pour surveiller les activités des employés travaillant à distance.
Des attaquants ont été observés en train d'utiliser des composants d'application légitimes de manière malveillante pour infecter les utilisateurs qui téléchargent le service VPN iranien 20Speed et espionner leurs activités.
Une fois injecté dans un appareil, le logiciel malveillant peut espionner presque toutes les activités et digérer des tonnes de données sensibles. Il s'agit notamment des clés d'accès enregistrées, des données de portefeuille crypto, des documents et des images, du contenu du presse-papiers et des journaux de frappe.
"Les composants malveillants sont des scripts qui volent des informations confidentielles du système et les téléchargent sur un serveur FTP appartenant à SecondEye", a expliqué Bitdefender.
"Cela peut conduire à des piratages complets de comptes, à des vols d'identité et à des pertes financières. De plus, en enregistrant les frappes au clavier, les attaquants peuvent obtenir des messages écrits par la victime sur les réseaux sociaux ou par courrier électronique, et ces informations peuvent être utilisées pour contraindre les victimes. .
La campagne semble être active depuis mai XNUMX, avec un nombre croissant d'attaques suite à la vague de plaintes antigouvernementales qui a commencé en septembre.
En conséquence, les téléchargements de VPN sur Van air ont monté en flèche, atteignant une augmentation de plus de XNUMX XNUMX % à la fin du mois.
Un VPN est largement utilisé par les citoyens iraniens pour accéder à des applications limitées comme Instagram et WhatsApp. Mais, à mesure que le gouvernement impose progressivement des sanctions plus sévères aux dissidents, y compris la peine de mort, un logiciel de sécurité supplémentaire est également nécessaire pour protéger les données sensibles.
Alors que de plus en plus d'Iraniens téléchargent un réseau privé virtuel sur leurs appareils, les autorités font peu pour réprimer les services VPN peu fiables.
Actuellement, de nombreux fournisseurs sont bloqués sur Van Go, ce qui signifie que les installateurs de VPN tiers deviennent de plus en plus populaires. Selon Iran International (ouvre dans un nouvel onglet), 20Speed VPN est en fait l'un des sites les plus populaires que les Iraniens visitent pour acheter leurs abonnements VPN. Plus d'une centaine sont les installations actives de son Application VPN pour Android.
Pour lutter contre ce type de campagnes de malwares, les spécialistes de Bitdefender conseillent « d'utiliser des solutions VPN connues téléchargées à partir de sources légitimes. De plus, une solution de sécurité, comme Bitdefender, peut protéger contre les vols d'informations ».
