Cisco Talos deckt RAT unter dem Deckmantel von AntiPegasus auf

AntiPegasus-Programm, ein Anti-Spyware-Tool, hat einen bösartigen Zwillingsbruder. Einer der frischen Untersuchungen die von Cisco Talos durchgeführt wurden, zeigten eine riesige Betrugskampagne. Es kursierte unter den Leuten, die das oben genannte Programm installiert und verwendet haben, um die Pegasus-Spyware zu stoppen. Statt AntiPegasus, Benutzer erhielten die Sarwent RAT.

Was sind Pegasus und AntiPegasus??

AntiPegasus ist ein Anti-Spyware-Programm die speziell entwickelt wurde, um den Pegasus zu stoppen Spyware. Es wurde von Amnesty International entwickelt, die in Großbritannien ansässige nichtkommerzielle Organisation, die sich um die Nutzung von Pegasus durch mehrere Regierungen kümmerte. Diese Software kann als Anti-Malware-Programm eingestuft werden, aber es hat noch die einzige aufgabe – Pegasus finden und entfernen. Es macht seine Aufgabe ziemlich gut und bietet einen kostenlosen Demo-Modus.

AntiPegasus-Site
Website von Amnesty International, wo die Leute früher AntiPegasus bekommen haben

Pegasus selbst ist ein Projekt von Israelische Firma NSO Group. Diese Spyware kann Textnachrichten lesen, Telefongespräche mithören, Verfolgen Sie den Standort, Passwörter sammeln, und viele andere Dinge, die typisch für Spyware sind. eigentlich, Pegasus ist eine militärische Spyware, die jede Art von Informationen von dem infizierten Gerät abrufen kann. Die Entwickler von NSO (die zu diesem Zeitpunkt dem US-amerikanischen Unternehmen Francisco Partners gehörte) behauptet, dass diese Entwicklung “autorisierte Regierungen mit Technologien, die ihnen bei der Bekämpfung von Terror und Kriminalität helfen.” dennoch, es gab viele Fälle, in denen einige kriminelle Strukturen diese Software für ihre eigenen Zwecke nutzten. Einige Länder machten es sich auch zunutze, um regierungsfeindliche Journalisten oder Persönlichkeiten des öffentlichen Lebens auszuspionieren.

Wie kam es zum AntiPegasus-Betrug?

Amnesty International verbreitet das AntiPegasus-Tool auf ihrer offiziellen Website. Betrüger, die den Virus verbreiteten, fälschten die Website eines Anti-Spyware-Tools. Diese gefälschten Seiten (Cisco Talos erkannt 3 solche Seiten) sind der ursprünglichen Amnesty-Website ziemlich ähnlich. Es ist erwähnenswert, dass Betrüger beim Kopieren der Original-Site großartige Arbeit geleistet haben. Es ist ziemlich schwer zu verstehen, dass Sie eine Fälschung betrachten, bis Sie die Adressleiste überprüfen. Alle diese gefälschten Seiten sind in Kiew registriert, Ukraine, aber die E-Mail-Adressen der Domaininhaber sind unterschiedlich und gehören zu verschiedenen Ländern. Es scheint, dass eine solche Wahl des Hosting-Standorts nur eine Möglichkeit ist, die Tracks zu verwirren.

Hier ist die Liste der Site-URLs, die die ursprüngliche Site nachahmen:
  • Medizinsystemwelt[.]Seite? ˅
  • antipegasusamnesty[.]mit
  • amnestyvspegasus[.]mit
  • amnestyinternationalantipegasus[.]mit
  • Andenken an das Leben[.]ru
  • immer danach streben und gedeihen[.]Platz
  • Fernzugriff-Trojaner, oder RAT, ist ein Malware-Typ, der es Dritten ermöglicht, ohne Autorisierung auf den PC des Opfers zuzugreifen. Die Art und Weise, wie dieser Trojaner seine Arbeit verrichtet, ist anders, aber es ist immer ein schlimmer fall. Es hat Backdoor-Funktionen auf seiner Basis, aber im Gegensatz zu Hintertüren, es kann auch viele zusätzliche Funktionen tragen. Noch schlimmer ist es, wenn es nicht als unseriöses Werkzeug getarnt ist, aber als Anti-Malware-Software.

    Wie sieht und funktioniert Sarwent??

    Die Sarwent RAT versucht sogar, das legitime AntiPegasus nachzuahmen – wenigstens, seine Schnittstelle wiederholt das Original. Es imitiert auch die Funktionalität eines echten Programms – Registerkarten mit Einstellungen, Scanverlauf und andere Elemente. dennoch, der auf Delphi geschriebene Remote-Access-Trojaner ist direkt drin. Die genaue Motivation, sowie Aktionen dieses Trojaners, sind nicht klar. genau, es sind nur 150 Opfer eines solchen Betrugs auf der ganzen Welt. Die meisten Opfer kommen aus Großbritannien (142 Benutzer), vier User aus den USA und ein weiterer 4 – aus der Gemeinschaft Unabhängiger Staaten. Es ist seltsam, die GUS-Staaten in der Liste der angegriffenen Länder zu sehen, da Cyberkriminelle aus der GUS normalerweise vermeiden, ihre eigenen Länder anzugreifen. jedoch, das ist der andere Beweis für die Theorie, dass Gastgeber in Kiew nur die Gleise verwirren.

    AntiPegasus-Schnittstelle
    Die Schnittstelle des AntiPegasus-Programms

    Der genaue Sarwent hat eine ganz typische Funktionalität wie für den Remote-Access-Trojaner. Es stellt den Fernzugriff auf den infizierten PC über RDP oder PowerShell her. Nachdem Sie die Verbindung hergestellt und alle erforderlichen Änderungen vorgenommen haben, diese RAT kann die Daten stehlen, Starten Sie die Apps, oder als Trojaner-Downloader agieren. Der Kommandoserver dieses Trojaners arbeitet in der Medizinsystemwelt[.]com-Domain.

    Polina Lisovskaya

    Ich arbeite seit Jahren als Marketingleiterin und liebe es, für dich nach interessanten Themen zu suchen

    Hinterlasse eine Antwort

    Schaltfläche "Zurück zum Anfang"