Bitdefender ارائه دهنده آنتی ویروس فاش کرد که یک جاسوس افزار کشف شده است که اطلاعات کاربران ایرانی را از طریق یک نصب کننده VPN آلوده سرقت می کند.
تحقیقات مشترک این شرکت با شرکت امنیت سایبری بلکپوینت، اجزای بدافزار EyeSpy ساخت ایران را برای تزریق «از طریق نصبکنندههای تروجانیزهشده نرمافزار VPN (همچنین در ایران توسعهیافته) یافت.
اکثر اهداف در داخل مرزهای کشور بودند، تنها تعداد کمی از قربانیان در آلمان و ایالات متحده مستقر بودند.
این امر به ویژه در کشوری مانند ایران نگران کننده است، جایی که استفاده از یکی از بهترین خدمات VPN به طور فزاینده ای به یک ضرورت تبدیل شده است. خواه این برای دور زدن سانسور آنلاین شدید آن باشد، یا حفظ ناشناس بودن برای جلوگیری از نظارت خطرناک دولت. به احتمال زیاد، ترکیبی از هر دو.
در عین حال، سرکوب شدید سرویسهای VPN ایرانی ممکن است مردم را به سمت سایتهای فروشنده شخص ثالث ناامن سوق دهد. این امر چنین کمپین جاسوس افزاری را برای حریم خصوصی و امنیت ایرانیان خطرناک تر می کند.
جاسوس افزار ضد مخالف؟
“با توجه به رویدادهای اخیر، این احتمال وجود دارد که هدف ایرانیانی باشد که می خواهند از طریق VPN به اینترنت دسترسی داشته باشند تا از قفل دیجیتال کشور عبور کنند. چنین نصب کننده های مخربی می توانند نرم افزارهای جاسوسی را روی افرادی که تهدیدی برای رژیم هستند، نصب کنند.” گزارش بیت دیفندر (در برگه جدید باز می شود) اشاره شد.
EyeSpy که توسط شرکت ایرانی SecondEye توسعه یافته است، یک نرم افزار نظارتی قانونی است که به عنوان راهی برای نظارت بر فعالیت های کارمندان از راه دور به مشاغل فروخته می شود.
مهاجمان با استفاده از مؤلفههای برنامه قانونی به روشی مخرب مشاهده شدند تا دانلود سرویس ایرانی VPN 20Speed را آلوده کنند و از فعالیتهای آنها جاسوسی کنند.
این بدافزار پس از تزریق به دستگاه، عملاً میتواند از هر فعالیتی جاسوسی کند و هزاران داده حساس را جمعآوری کند. اینها شامل گذرواژههای ذخیرهشده، دادههای کیف پول رمزنگاری، اسناد و تصاویر، محتویات کلیپبورد، و فشار دادن کلید گزارشها میشود.
Bitdefender توضیح داد: اجزای بدافزار اسکریپت هایی هستند که اطلاعات حساس را از سیستم می دزدند و آنها را در یک سرور FTP متعلق به SecondEye آپلود می کنند.
“این می تواند به تصاحب کامل حساب، سرقت هویت و ضرر مالی منجر شود. علاوه بر این، مهاجمان با ثبت کلیدهای کلیدی، می توانند پیام هایی را که قربانی در رسانه های اجتماعی یا ایمیل تایپ شده است، دریافت کنند و از این اطلاعات می توان برای باج گیری از قربانیان استفاده کرد.”
به نظر می رسد که این کمپین از ماه مه 2022 فعال است و تعداد فزاینده ای از حملات پس از موج اعتراضات ضد دولتی در سپتامبر آغاز شد.
دانلود VPN در ایران به دنبال آن سر به فلک کشید و تا پایان ماه به اوج بیش از 3000 درصد افزایش رسید.
یک VPN است تا حد زیادی توسط شهروندان ایرانی برای دسترسی به برنامه های محدود شده مانند اینستاگرام و واتس اپ استفاده می شود. اما، از آنجایی که دولت به طور فزاینده مخالفان را با احکام سنگین حتی به مجازات اعدام متهم می کند، نرم افزار امنیتی اضافی نیز برای حفاظت از داده های حساس ضروری است.
در حالی که بیشتر و بیشتر ایرانیان یک شبکه خصوصی مجازی را در دستگاه های خود دانلود می کنند، مقامات به سختی خدمات VPN قابل اعتماد را سرکوب می کنند.
بسیاری از ارائه دهندگان در حال حاضر در ایران مسدود هستند، به این معنی که نصب کننده های شخص ثالث VPN به طور فزاینده ای محبوب هستند. مطابق با ایران اینترنشنال (در برگه جدید باز می شود)20Speed VPN در واقع یکی از محبوب ترین وب سایت هایی است که ایرانیان برای خرید اشتراک VPN خود به آنجا سر می زنند. بیش از 100000 نصب فعال آن است برنامه Android VPN.
برای مبارزه با چنین کمپین های بدافزاری، کارشناسان Bitdefender توصیه می کنند “از راه حل های معروف VPN که از منابع قانونی دانلود شده اند استفاده کنید. همچنین یک راه حل امنیتی مانند Bitdefender می تواند در برابر دزدان اطلاعات محافظت کند.”
