Se ha descubierto software espía que roba datos de usuarios iraníes a través de un instalador de VPN infectado, antivirus proveedor Bitdefender ha revelado.
La investigación conjunta de la compañía con la firma de seguridad cibernética Blackpoint encontró que los componentes del malware EyeSpy de fabricación iraní se inyectaron «a través de instaladores troyanos de vpn software (también desarrollado en Irán).»
La mayoría de los objetivos estaban dentro de las fronteras del país, solo unas pocas víctimas se encontraron en Alemania y los EE. UU.
Esto es particularmente preocupante en un país como Irán, donde usar uno de los mejor VPN servicios se ha convertido cada vez más en una necesidad. Ya sea para eludir su estricta censura en línea o para preservar el anonimato para evitar la peligrosa vigilancia del gobierno. Lo más probable es que sea una mezcla de ambos.
Al mismo tiempo, una dura represión de los servicios de VPN iraníes podría empujar a las personas hacia sitios de terceros no seguros. Esto hace que una campaña de software espía de este tipo sea aún más peligrosa para la privacidad y la seguridad de los iraníes.
¿Spware antidisidente?
“A la luz de los eventos recientes, es posible que los objetivos sean iraníes que quieran acceder a Internet a través de una VPN para evitar el bloqueo digital del país. Dichos instaladores maliciosos podrían plantar software espía en personas que representan una amenaza para el régimen”. Informe de Bitdefender (se abre en una pestaña nueva) señalado.
Desarrollado por la firma iraní SecondEye, EyeSpy es un software de monitoreo legítimo que se vende a las empresas como una forma de monitorear las actividades de los empleados que trabajan de forma remota.
Se observó que los atacantes usaban componentes de la aplicación legítima de manera maliciosa para infectar a los usuarios que descargaban el servicio VPN 20Speed con sede en Irán y espiar sus actividades.
Una vez inyectado en un dispositivo, el malware puede espiar virtualmente cada actividad y recopilar toneladas de datos confidenciales. Estos incluyen contraseñas almacenadas, datos de billetera criptográfica, documentos e imágenes, contenido del portapapeles y registros de pulsaciones de teclas.
«Los componentes del malware son scripts que roban información confidencial del sistema y la suben a un servidor FTP que pertenece a SecondEye», explicó Bitdefender.
«Esto puede conducir a adquisiciones de cuentas completas, el robo de identidad y pérdida financiera. Además, al registrar las pulsaciones de teclas, los atacantes pueden obtener mensajes escritos por la víctima en las redes sociales o en el correo electrónico, y esta información puede usarse para chantajear a las víctimas».
La campaña parece estar activa desde mayo de 2022, con un número creciente de ataques tras la ola de protestas antigubernamentales que comenzó en septiembre.
Las descargas de VPN en Irán se dispararon después de esto, alcanzando un pico de más del 3000% de aumento a finales de mes.
Una VPN es ampliamente utilizado por ciudadanos iraníes para acceder a aplicaciones restringidas como Instagram y WhatsApp. Pero, a medida que el gobierno acusa cada vez más a los disidentes con sentencias severas que incluso llegan a la pena de muerte, el software de seguridad adicional también es una necesidad para salvaguardar los datos confidenciales.
Si bien cada vez más iraníes descargan una red privada virtual en sus dispositivos, las autoridades apenas están tomando medidas enérgicas contra los servicios VPN confiables como resultado.
Muchos proveedores están actualmente bloqueados en Irán, lo que significa que los instaladores de VPN de terceros son cada vez más populares. De acuerdo a Irán Internacional (se abre en una pestaña nueva), 20Speed VPN es en realidad uno de los sitios web más populares donde los iraníes se dirigen a comprar sus suscripciones de VPN. Más de 100.000 son las instalaciones activas de sus VPN para Android aplicación
Para luchar contra este tipo de campañas de malware, los expertos de Bitdefender recomiendan «utilizar soluciones VPN conocidas descargadas de fuentes legítimas. Además, una solución de seguridad, como Bitdefender, puede proteger contra los ladrones de información».
