È stato scoperto che uno spyware ruba dati agli utenti iraniani tramite un programma di installazione VPN infetto, ha rivelato il fornitore di antivirus Bitdefender.
L'indagine congiunta della società con la società di sicurezza informatica Blackpoint ha rilevato che i componenti del malware EyeSpy di fabbricazione iraniana sono stati iniettati "da installatori di software VPN trojan (sviluppati anche in Van ir)".
La maggior parte degli obiettivi si trovava all'interno dei confini del Paese, solo poche vittime in Germania e negli Stati Uniti.
Ciò è particolarmente allarmante in un paese come Van Gogh, dove l'utilizzo di uno dei migliori servizi VPN è diventato gradualmente più una necessità. O per evitare la sua rigorosa censura online o per mantenere l'anonimato per eludere la pericolosa sorveglianza del governo. Molto probabilmente è un mix dei due.
Allo stesso tempo, un duro giro di vite sui servizi VPN iraniani potrebbe portare le persone a siti di rivenditori di terze parti non sicuri. Ciò rende una simile campagna spyware ancora più pericolosa per la privacy e la sicurezza degli iraniani.
¿Software antidissidente?
“Alla luce dei recenti eventi, è probabile che gli obiettivi siano gli iraniani che desiderano accedere a Internet tramite una VPN per aggirare il blocco digitale del Paese. Tali programmi di installazione dannosi potrebbero installare spyware su persone che rappresentano una minaccia per il regime", riferisce Bitdefender. (si apre in una nuova scheda) annotato.
Sviluppato dalla società iraniana SecondEye, EyeSpy è un legittimo software di sorveglianza venduto alle aziende come un modo per monitorare le attività dei dipendenti che lavorano in remoto.
Gli aggressori sono stati osservati utilizzando componenti di applicazioni legittime in modo dannoso per infettare gli utenti che scaricano il servizio VPN iraniano 20Speed e spiano le loro attività.
Una volta iniettato in un dispositivo, il malware può spiare quasi tutte le attività e digerire tonnellate di dati sensibili. Questi includono chiavi di accesso salvate, dati del portafoglio crittografico, documenti e immagini, contenuto degli appunti e registri dei tasti.
"I componenti del malware sono script che rubano informazioni proprietarie dal sistema e le caricano su un server FTP di proprietà di SecondEye", ha spiegato Bitdefender.
"Ciò può portare a intere acquisizioni di account, furto di identità e perdite finanziarie. Inoltre, registrando le sequenze di tasti, gli aggressori possono ricevere messaggi scritti dalla vittima sui social media o e-mail e queste informazioni possono essere utilizzate per costringere le vittime". .
La campagna sembra essere attiva dal maggio XNUMX, con un numero crescente di attacchi a seguito dell'ondata di denunce antigovernative iniziata a settembre.
Di conseguenza, i download VPN su Van a ir sono saliti alle stelle, raggiungendo un aumento di oltre il XNUMX% entro la fine del mese.
Una VPN lo è ampiamente utilizzato dai cittadini iraniani per accedere ad applicazioni limitate come Instagram e WhatsApp. Tuttavia, poiché il governo impone gradualmente sanzioni più severe per i dissidenti, compresa la pena di morte, è necessario anche un software di sicurezza aggiuntivo per salvaguardare i dati sensibili.
Mentre sempre più iraniani scaricano una rete privata virtuale sui propri dispositivi, le autorità fanno poco per reprimere i servizi VPN inaffidabili.
Attualmente, molti fornitori sono bloccati su Van Go, il che significa che gli installatori VPN di terze parti stanno diventando sempre più popolari. Secondo Iran International (si apre in una nuova scheda), 20Speed VPN è in realtà uno dei siti più popolari che gli iraniani visitano per acquistare i loro abbonamenti VPN. Più di cento sono i suoi impianti attivi Applicazione VPN per Android.
Per combattere questo tipo di campagne malware, gli specialisti di Bitdefender consigliano di "utilizzare soluzioni VPN note scaricate da fonti legittime. Inoltre, una soluzione di sicurezza, come Bitdefender, può proteggersi dai ladri di informazioni".
