Un logiciel espion a été découvert en train de voler des données d’utilisateurs iraniens via un programme d’installation de VPN infecté, a révélé le fournisseur d’antivirus Bitdefender.
Les recherches conjointes de la société avec la société de cybersécurité Blackpoint ont révélé que des composants du logiciel malveillant EyeSpy de fabrication iranienne étaient injectés « par des installateurs de logiciels VPN trojanisés (également développés en Iran) ».
La majorité des cibles se trouvaient à l’intérieur des frontières du pays, seules quelques victimes se trouvaient en Allemagne et aux États-Unis.
Ceci est particulièrement préoccupant dans un pays comme l’Iran, où l’utilisation de l’un des meilleurs services VPN est de plus en plus devenue une nécessité. Que ce soit pour contourner sa stricte censure en ligne ou pour préserver l’anonymat afin d’éviter une dangereuse surveillance gouvernementale. Très probablement, un mélange des deux.
Dans le même temps, une répression sévère des services VPN iraniens pourrait pousser les gens vers des sites de fournisseurs tiers non sécurisés. Cela rend une telle campagne de logiciels espions encore plus dangereuse pour la vie privée et la sécurité des Iraniens.
Logiciels anti-dissidents ?
« À la lumière des événements récents, il est possible que les cibles soient des Iraniens qui souhaitent accéder à Internet via un VPN pour contourner le verrouillage numérique du pays. De tels installateurs malveillants pourraient implanter des logiciels espions sur des personnes qui constituent une menace pour le régime », rapporte Bitdefender. (s’ouvre dans un nouvel onglet) c’est noté.
Développé par la société iranienne SecondEye, EyeSpy est un logiciel de surveillance légitime vendu aux entreprises comme un moyen de surveiller les activités des employés travaillant à distance.
Les attaquants ont été observés en train d’utiliser des composants de l’application légitime de manière malveillante pour infecter les utilisateurs qui téléchargent le service VPN iranien 20Speed et espionner leurs activités.
Une fois injecté dans un appareil, le logiciel malveillant peut virtuellement espionner chaque activité et collecter des tonnes de données sensibles. Il s’agit notamment des mots de passe stockés, des données de portefeuille cryptographique, des documents et des images, du contenu du presse-papiers et des journaux des pressions sur les touches.
« Les composants du malware sont des scripts qui volent des informations sensibles du système et les téléchargent sur un serveur FTP appartenant à SecondEye », a expliqué Bitdefender.
« Cela peut entraîner des prises de contrôle complètes de compte, des vols d’identité et des pertes financières. De plus, en enregistrant les pressions sur les touches, les attaquants peuvent obtenir des messages tapés par la victime sur les réseaux sociaux ou par e-mail, et ces informations peuvent être utilisées pour faire chanter les victimes ».
La campagne semble être active depuis mai 2022, avec un nombre croissant d’attaques suite à la vague de manifestations anti-gouvernementales commencée en septembre.
Les téléchargements de VPN en Iran ont explosé à la suite de cela, atteignant un pic de plus de 3 000 % d’augmentation à la fin du mois.
Un VPN est largement utilisé par les citoyens iraniens pour accéder à des applications restreintes comme Instagram et WhatsApp. Mais, alors que le gouvernement accuse de plus en plus les dissidents de peines sévères pouvant aller jusqu’à la peine de mort, un logiciel de sécurité supplémentaire est également nécessaire pour protéger les données sensibles.
Alors que de plus en plus d’Iraniens téléchargent un réseau privé virtuel sur leurs appareils, les autorités ne répriment guère les services VPN fiables.
De nombreux fournisseurs sont actuellement bloqués en Iran, ce qui signifie que les installateurs de VPN tiers sont de plus en plus populaires. Selon Iran International (s’ouvre dans un nouvel onglet), 20Speed VPN est en fait l’un des sites Web les plus populaires où les Iraniens se rendent pour acheter leurs abonnements VPN. Plus de 100 000 sont les installations actives de ses Application VPN Android.
Pour lutter contre de telles campagnes de logiciels malveillants, les experts de Bitdefender recommandent « d’utiliser des solutions VPN bien connues téléchargées à partir de sources légitimes. De plus, une solution de sécurité, comme Bitdefender, peut protéger contre les voleurs d’informations ».