Im Rahmen einer Malware-Kampagne, die im Mai 2022 begann, werden gefälschte VPN-Installer verwendet, um eine Überwachungssoftware namens EyeSpy zu installieren.
Sie nutzt „Komponenten von SecondEye – einer legitimen Überwachungsanwendung – um Nutzer von 20Speed VPN, einem VPN-Dienst mit Sitz im Iran, über trojanisierte Installationsprogramme auszuspionieren“, so Bitdefender in einer Analyse.
Ein Großteil der Infektionen soll aus dem Iran stammen, mit kleineren Entdeckungen in Deutschland und den USA, fügte das rumänische Cybersecurity-Unternehmen hinzu.
SecondEye behauptet laut Schnappschüssen aus dem Internet Archive, eine kommerzielle Überwachungssoftware zu sein, die als „elterliches Kontrollsystem oder als Online-Wachhund“ eingesetzt werden kann. Ab November 2021 wird sie zwischen 99 und 200 US-Dollar zum Verkauf angeboten.
Die Software verfügt über eine breite Palette von Funktionen, die es ermöglichen, Screenshots zu machen, das Mikrofon aufzuzeichnen, Tastenanschläge zu protokollieren, Dateien und gespeicherte Passwörter aus Webbrowsern zu sammeln und die Rechner fernzusteuern, um beliebige Befehle auszuführen.
SecondEye war bereits im August 2022 bekannt geworden, als Blackpoint Cyber aufdeckte, dass die Bedrohungsakteure die Spyware-Module und die Infrastruktur für die Speicherung von Daten und Nutzdaten nutzen.
Die jüngste Angriffskette beginnt damit, dass ein ahnungsloser Nutzer eine bösartige ausführbare Datei von der Website von 20Speed VPN herunterlädt, was auf zwei plausible Szenarien hindeutet: Entweder wurde in die Server von 20Speed VPN eingedrungen, um die Spyware zu speichern, oder es handelt sich um einen absichtlichen Versuch, Personen auszuspionieren, die VPN-Apps herunterladen, um Internetsperren im Land zu umgehen.
Nach der Installation wird der legitime VPN-Dienst gestartet, während er im Hintergrund eine Reihe von schändlichen Aktivitäten in Gang setzt, um sich zu etablieren und die nächste Stufe der Nutzlast herunterzuladen, um persönliche Daten des Nutzers zu sammeln.
„EyeSpy ist in der Lage, die Online-Privatsphäre durch Keylogging und den Diebstahl von sensiblen Informationen wie Dokumenten, Bildern, Krypto-Wallets und Passwörtern vollständig zu kompromittieren“, sagt Bitdefender-Forscher Janos Gergo Szeles. „Das kann zu kompletten Kontoübernahmen, Identitätsdiebstahl und finanziellen Verlusten führen.“