EyeSpy - Le logiciel espion iranien intégré au VPN

Les solutions VPN grand public ont connu une croissance exponentielle au cours des dernières années. Ces utilitaires omniprésents aident les utilisateurs à garder leur trafic Internet privé, à surfer de manière anonyme et à contourner les restrictions ou la censure. Et, tandis que la plupart des pays du monde tiennent cette technologie pour acquise, les utilisateurs de certaines régions spécifiques - comme les Iraniens - doivent essayer des dizaines d'applications avant d'en trouver une qui soit (encore) capable de contourner les restrictions des fournisseurs d'accès à Internet (FAI). Alors que certains VPN sont faux [voici un guide sur comment repérer une fausse application VPN] ou bloqués, d'autres sont délibérément mêlés à des logiciels malveillants.

Le contexte

Lors de l'analyse de routine des performances de détection, nous avons remarqué un lot de processus qui respectaient le même modèle de nommage. Ces noms commencent par sys, win ou lib suivis d'un mot décrivant la fonctionnalité, comme bus, crt, temp, cache, init et se terminent par 32.exe. Nous avons remarqué plus tard que les fichiers .bat et les payloads téléchargés respectaient la même convention de nommage. Une enquête plus approfondie a révélé que les composants faisaient partie d'une application de surveillance appelée SecondEye, développée en Iran et distribuée légitimement via le site Web du développeur. Nous avons également constaté que certains composants de logiciels espions étaient déjà décrits dans un article publié par Blackpoint. Dans l'article, les chercheurs ont attiré l'attention sur les dangers des logiciels de surveillance distribués légalement avec un comportement malveillant.

Nos propres chercheurs, ainsi que ceux de Blackpoint, ont découvert que les campagnes utilisaient des composants de la suite SecondEye et de leur infrastructure. Cependant, ces composants n'ont pas été livrés via un programme d'installation SecondEye légitime, mais plutôt via des programmes d'installation de logiciels VPN protégés par des chevaux de Troie (également développés en Iran) qui ont intégré les composants de logiciels espions au produit VPN.

L'attaque en un coup d'œil

Bitdefender a découvert une campagne de logiciels malveillants qui utilise des composants de SecondEye - une application de surveillance légitime - pour espionner les utilisateurs de 20Speed VPN, un service VPN basé en Iran, via des installateurs troyens.
EyeSpy a la capacité de compromettre pleinement la confidentialité en ligne via l'enregistrement de frappe et le vol d'informations sensibles, telles que des documents, des images, des portefeuilles cryptographiques et des mots de passe.
La campagne a débuté en mai 2022, mais les détections ont culminé en août et septembre. La plupart de ces détections proviennent d'Iran, avec un petit bassin de victimes en Allemagne et aux États-Unis.

Les indicateurs de compromission

Une liste complète et à jour des indicateurs de compromission est disponible pour les utilisateurs de Bitdefender Advanced Threat Intelligence. Les indicateurs de compromission actuellement connus peuvent être trouvés dans le livre blanc ci-dessous.