AntiPegasus program, et anti-spyware værktøj, har en ondsindet tvillingebror. En af de friske undersøgelser der blev udført af Cisco Talos viste en kæmpe svindelkampagne. Det cirkulerede blandt de mennesker, der installerede og brugte det førnævnte program til at stoppe Pegasus -spyware. I stedet for AntiPegasus, brugere fik Sarwent RAT.
Hvad er Pegasus og AntiPegasus?
AntiPegasus er en anti-spyware program der er designet specielt til at stoppe Pegasus spyware. Det blev udviklet af Amnesty International, den britisk-baserede ikke-kommercielle organisation, der tog sig af brugen af Pegasus af flere regeringer. Denne software kan klassificeres som et anti-malware program, men den har stadig den eneste opgave – find og fjern Pegasus. Det udfører sin opgave ret godt og tilbyder en gratis demo -tilstand.
Pegasus selv er et projekt af Det israelske firma NSO Group. Denne spyware er i stand til at læse tekstbeskeder, høre telefonsamtaler, spore placeringen, indsamle adgangskoder, og en masse andre ting, der er typiske for spyware. faktisk, Pegasus er spyware af militær kvalitet, der er i stand til at få enhver form for information fra den inficerede enhed. Udviklerne fra NSO (der tilhørte det amerikanske selskab Francisco Partners på det tidspunkt) hævdede, at denne udvikling giver “autoriserede regeringer med teknologi, der hjælper dem med at bekæmpe terror og kriminalitet.” Ikke desto mindre, der var mange tilfælde, hvor nogle kriminelle strukturer brugte denne software til deres egne formål. Nogle lande har også gjort brug af det for at spionere på journalister eller offentlige personer, der er stødende for regeringen.
Hvordan skete AntiPegasus -svindlen?
Amnesty International spreder AntiPegasus -værktøjet på deres officielle websted. Svindlere, der spredte virussen, forfalskede webstedet for et anti-spyware-værktøj. Disse falske sider (Cisco Talos opdaget 3 sådanne sider) ligner stort set det originale Amnesty -websted. Værd at sige, at svindlere gjorde et godt stykke arbejde med at kopiere det originale websted. det er ret svært at forstå, at du ser på en forfalskning, indtil du tjekker adresselinjen. Alle disse falske websteder er registreret i Kiev, Ukraine, men domæneejernes e -mail -adresser er forskellige og tilhører forskellige lande. Det ser ud til, at et sådant valg af hostingplaceringen bare er en måde at forvirre sporene på.
Her er listen over webstedets webadresser, der efterligner det originale websted:
Fjernadgangstrojaner, eller RAT, er en malware -type, der er designet til at give tredjepart adgang til offerets pc uden tilladelse. Den måde, hvorpå denne trojaner gør sit arbejde, er anderledes, men det er altid en dårlig sag. Det har bagdørsfunktioner på sit grundlag, men i modsætning til bagdøre, det kan også bære en masse ekstra funktionalitet. Endnu værre er tilfældet, når det ikke er forklædt som et tvivlsomt værktøj, men som anti-malware software.
Hvordan ser og virker Sarwent ud?
Sarwent RAT forsøger endda at efterligne den legitime AntiPegasus – i det mindste, dens interface gentager den originale. Det efterligner også funktionaliteten af et rigtigt program – faner med indstillinger, scanne historie og andre elementer. Ikke desto mindre, fjernadgangstrojanen skrevet på Delphi er lige indeni. Den nøjagtige motivation, samt handlinger udført af den trojanske, er ikke klare. Nemlig, der er kun 150 ofre for sådan en fidus i hele verden. Størstedelen af ofrene er fra Storbritannien (142 brugere), fire brugere fra USA og en anden 4 – fra Commonwealth of Independent States. Det er mærkeligt at se SNG -landene på listen over angrebne, da cyberkriminelle fra SNG normalt undgår at angribe deres egne lande. imidlertid, det er det andet bevis på teorien om, at hosting i Kiev bare forvirrer sporene.
Den nøjagtige Sarwent har ganske typisk funktionalitet som for fjernadgangstrojanen. Det etablerer fjernadgang til den inficerede pc via RDP eller PowerShell. Efter at have etableret forbindelsen og foretaget alle nødvendige ændringer, denne RAT er i stand til at stjæle dataene, starte apps, eller fungere som en trojan-downloader. Kommandoserveren for denne trojan fungerer i den medicinske systemverden[.]com domæne.
