Spyware telah terdeteksi mencuri data pengguna dari Iran melalui penginstal VPN yang terinfeksi

Spyware telah terdeteksi mencuri data pengguna dari Iran melalui penginstal VPN yang terinfeksi

Spyware telah ditemukan mencuri data pengguna dari Iran melalui penginstal VPN yang disusupi, vendor antivirus Bitdefender telah mengungkapkan.

Investigasi perusahaan gabungan dengan perusahaan keamanan siber Blackpoint menemukan bahwa komponen malware EyeSpy Iran disuntikkan “melalui penginstal perangkat lunak VPN yang di-trojanisasi (juga dikembangkan di Iran)”.

Sebagian besar target berada di dalam negeri, dengan hanya beberapa korban di Jerman dan Amerika Serikat.

Ini sangat mengkhawatirkan di negara seperti Iran, di mana menggunakan salah satu layanan VPN terbaik semakin menjadi kebutuhan. Entah itu untuk melewati sensor internet yang ketat atau tetap anonim untuk menghindari pengawasan pemerintah yang berbahaya. Kemungkinan besar campuran keduanya.

Pada saat yang sama, tindakan keras terhadap layanan VPN Iran dapat mendorong orang ke situs pihak ketiga yang tidak aman. Ini membuat kampanye spyware semacam itu semakin berbahaya bagi privasi dan keamanan warga Iran.

Perangkat lunak anti pembangkang?

“Mengingat kejadian baru-baru ini, kemungkinan targetnya adalah orang Iran yang ingin mengakses internet melalui VPN untuk melewati kuncian digital negara itu. Pemasang jahat semacam itu dapat memasang spyware pada orang-orang yang mengancam rezim.” Laporan Bitdefender (terbuka di tab baru) direkam.

Dikembangkan oleh perusahaan Iran SecondEye, EyeSpy adalah perangkat lunak pengawasan resmi yang dipasarkan ke perusahaan sebagai cara untuk memantau aktivitas karyawan yang bekerja dari jarak jauh.

Penyerang diamati menggunakan komponen aplikasi yang sah dengan cara jahat untuk menginfeksi pengguna yang mengunduh layanan VPN 20Speed ​​​​Iran dan memata-matai aktivitas mereka.

Setelah disuntikkan ke perangkat, malware dapat memata-matai hampir semua aktivitas dan mengumpulkan banyak sekali data sensitif. Ini termasuk kata sandi yang disimpan, data dompet mata uang kripto, dokumen dan gambar, konten papan klip, dan log keystroke.

“Komponen malware adalah skrip yang mencuri informasi sensitif dari sistem dan mengunggahnya ke server FTP milik SecondEye,” jelas Bitdefender.

“Hal ini dapat menyebabkan pengambilalihan akun sepenuhnya, pencurian identitas, dan kerugian finansial. Selain itu, dengan mencatat penekanan tombol, penyerang dapat memperoleh pesan yang diketik korban di media sosial atau email, dan informasi ini dapat digunakan untuk memeras korban.”

Kampanye tersebut tampaknya aktif sejak Mei 2022, dengan jumlah serangan meningkat setelah gelombang protes anti-pemerintah yang dimulai pada September.

Setelah acara ini, unduhan VPN di Iran meroket, mencapai lebih dari 3.000% pada akhir bulan.

VPN sebagian besar digunakan oleh warga Iran untuk mengakses aplikasi terbatas seperti Instagram dan WhatsApp. Namun, karena pemerintah semakin memberlakukan hukuman keras terhadap para pembangkang, hingga hukuman mati, perangkat lunak keamanan tambahan juga diperlukan untuk melindungi data sensitif.

Sementara semakin banyak orang Iran mengunduh jaringan pribadi virtual ke perangkat mereka, hasilnya adalah pihak berwenang hampir tidak menindak layanan VPN yang andal.

Banyak penyedia saat ini diblokir di Iran, yang berarti penginstal VPN pihak ketiga sedang meningkat. Menurut International Iran (terbuka di tab baru). 20Speed ​​​​​​VPN sebenarnya adalah salah satu situs web paling populer tempat orang Iran membeli langganan VPN. Lebih dari 100.000 instalasi aktif aplikasi VPN untuk android.

Untuk memerangi kampanye malware semacam itu, pakar Bitdefender merekomendasikan “menggunakan solusi VPN terkenal yang diunduh dari sumber yang sah. Selain itu, solusi keamanan seperti Bitdefender dapat melindungi dari pencurian informasi.”

Author: Lawrence Carter