Des installateurs de VPN contaminés sont utilisés pour fournir un logiciel de surveillance appelé OeilEspion dans le cadre d’une campagne de logiciels malveillants qui a débuté en mai 2022.
Il utilise « des composants de SecondEye – une application de surveillance légitime – pour espionner les utilisateurs de 20Speed VPN, un service VPN basé en Iran, via des installateurs troyens », Bitdefender m’a dit dans une analyse.
La majorité des infections proviendraient d’Iran, avec des détections plus petites en Allemagne et aux États-Unis, a ajouté la société roumaine de cybersécurité.
SecondEye, selon instantanés capturé via Internet Archive, prétend être un logiciel de surveillance commercial qui peut fonctionner comme un « système de contrôle parental ou comme un chien de garde en ligne ». Depuis novembre 2021, il est proposé à la vente entre 99 $ et 200 $.
Il est livré avec un large éventail de fonctionnalités qui lui permettent de prendre des captures d’écran, d’enregistrer un microphone, d’enregistrer des frappes au clavier, de rassembler des fichiers et des mots de passe enregistrés à partir de navigateurs Web et de contrôler à distance les machines pour exécuter des commandes arbitraires.
SecondEye est déjà passé sous le radar en août 2022, lorsque Blackpoint Cyber révélé l’utilisation par les pirates de ses modules de logiciels espions et de son infrastructure pour le stockage des données et de la charge utile.
La dernière chaîne d’attaque commence lorsqu’un utilisateur sans méfiance télécharge un exécutable malveillant à partir du site Web de 20Speed VPN, indiquant deux scénarios plausibles : soit que ses serveurs ont été piratés pour héberger le logiciel espion, soit qu’il s’agit d’une tentative délibérée d’espionner des personnes susceptibles de télécharger des applications VPN pour contourne pannes d’internet dans le pays.
Une fois installé, le service VPN légitime est lancé, tout en lançant furtivement un train d’activités néfastes en arrière-plan afin d’établir la persistance et de télécharger les charges utiles de la prochaine étape pour récolter les données personnelles de l’hôte.
« EyeSpy a la capacité de compromettre complètement la confidentialité en ligne via l’enregistrement de frappe et le vol d’informations sensibles, telles que des documents, des images, des portefeuilles cryptographiques et des mots de passe », a déclaré Janos Gergo Szeles, chercheur chez Bitdefender. « Cela peut entraîner des prises de contrôle complètes de comptes, des vols d’identité et des pertes financières. »