2022. gada maijā sāktās ļauatūras kampaņas ietvaros tiek izmantoti modificēti VPN instalētāji, lai piegādātu spiegprogrammatūru ar nosaukumu EyeSpy.
Bitdefender analīzē teikts: “Tā izmanto SecondEye – likumīgas uzraudzības programmas – komponentus, lai izspiegotu, Irānā bāzēta VPN pakalpojuma, 20Speed VPN lietotājus, izmantojot Trojanizētus instalētājus.”
Rumānijas kiberdrošības uzņēmums piebilda, ka lielākā daļa inficēšanās gadījumu nāk no Irānas, bet mazāka daļa ir konstatēta Vācijā un ASV.
SecondEye, kā liecina interneta arhīvā uzņemtie momentuzņēmumi, apgalvo, ka tā ir komerciāla uzraudzības programmatūra, kas var darboties kā vecāku kontroles sistēma vai kā tiešsaistes uzraugs. No 2021. gada novembra tā tiek piedāvāta pārdošanai robežās no 99 līdz 200 ASV dolāriem.
Tam ir plašs funkciju klāsts, kas ļauj veikt ekrānšāviņus, ierakstīt mikrofonu, reģistrēt taustiņu nospiedumus, vākt failus un saglabātās paroles no tīmekļa pārlūkprogrammām, kā arī attālināti kontrolēt iekārtas, lai izpildītu patvaļīgas komandas.
SecondEye iepriekš nonāca redzeslokā 2022. gada augustā, kad uzņēmums Blackpoint Cyber atklāja, ka nezināmi Draudu dalībnieki (threat actors) izmanto tā spiegprogrammatūras moduļus un infrastruktūru datu un slodzes uzglabāšanai. Šajos incidentos izmantotais sākotnējais piekļuves mehānisms pašlaik nav zināms.
Uzņēmuma Bitdefender draudu izpētes un ziņošanas direktors Bogdans Botezat portālam The Hacker News norādīja, ka, neraugoties uz to, ka tiek izmantoti vieni un tie paši spiegprogrammatūras komponenti, nav pietiekami daudz pierādījumu, lai abas aktivitātes saistītu ar vienu kampaņu.
Jaunākā uzbrukumu ķēde sākas, kad neapzinīgs lietotājs lejupielādē ļaunprātīgu izpildāmo failu no 20Speed VPN vietnes, veicinot divus ticamus scenārijus: vai nu tās serveri tika uzlauzti, lai uzturētu spiegprogrammatūru, vai arī tas ir apzināts mēģinājums izspiegot personas, kas varētu lejupielādēt VPN lietotnes, lai apietu interneta traucējumus valstī.
Pēc instalēšanas tiek palaists likumīgais VPN pakalpojums, vienlaikus fonā slepeni uzsākot virkni ļaunprātīgu darbību, lai nodrošinātu noturību un lejupielādētu nākamā posma payloads, kas paredzētas personas datu iegūšanai no galvenā servera.
“EyeSpy spēj pilnībā apdraudēt privātumu tiešsaistē, veicot taustiņu reģistrēšanu un sensitīvas informācijas, piemēram, dokumentu, attēlu, kriptovalūtu maku un paroļu, zādzību,” teica Bitdefender pētnieks Janos Gergo Szeles. “Tas var novest pie pilnīgas kontu pārņemšanas, identitātes zādzības un finanšu zaudējumiem.”
