Cisco Talos deckt RAT unter dem Deckmantel von AntiPegasus auf

AntiPegasus-Programm, ein Anti-Spyware-Tool, hat einen bösartigen Zwillingsbruder. Einer der frischen Untersuchungen die von Cisco Talos durchgeführt wurden, zeigten eine riesige Betrugskampagne. Es kursierte unter den Leuten, die das oben genannte Programm installiert und verwendet haben, um die Pegasus-Spyware zu stoppen. Statt AntiPegasus, Benutzer erhielten die Sarwent RAT.

Was sind Pegasus und AntiPegasus??

AntiPegasus ist ein Anti-Spyware-Programm die speziell entwickelt wurde, um den Pegasus zu stoppen Spyware. Es wurde von Amnesty International entwickelt, die in Großbritannien ansässige nichtkommerzielle Organisation, die sich um die Nutzung von Pegasus durch mehrere Regierungen kümmerte. Diese Software kann als Anti-Malware-Programm eingestuft werden, but it still has the only task – find and remove Pegasus. Es macht seine Aufgabe ziemlich gut und bietet einen kostenlosen Demo-Modus.

Pegasus selbst ist ein Projekt von Israelische Firma NSO Group. Diese Spyware kann Textnachrichten lesen, Telefongespräche mithören, Verfolgen Sie den Standort, Passwörter sammeln, und viele andere Dinge, die typisch für Spyware sind. eigentlich, Pegasus ist eine militärische Spyware, die jede Art von Informationen von dem infizierten Gerät abrufen kann. Die Entwickler von NSO (die zu diesem Zeitpunkt dem US-amerikanischen Unternehmen Francisco Partners gehörte) claimed that this development provides “authorized governments with technology that helps them combat terror and crime.” Nonetheless, es gab viele Fälle, in denen einige kriminelle Strukturen diese Software für ihre eigenen Zwecke nutzten. Einige Länder machten es sich auch zunutze, um regierungsfeindliche Journalisten oder Persönlichkeiten des öffentlichen Lebens auszuspionieren.

Wie kam es zum AntiPegasus-Betrug?

Amnesty International verbreitet das AntiPegasus-Tool auf ihrer offiziellen Website. Betrüger, die den Virus verbreiteten, fälschten die Website eines Anti-Spyware-Tools. Diese gefälschten Seiten (Cisco Talos erkannt 3 solche Seiten) sind der ursprünglichen Amnesty-Website ziemlich ähnlich. Es ist erwähnenswert, dass Betrüger beim Kopieren der Original-Site großartige Arbeit geleistet haben. Es ist ziemlich schwer zu verstehen, dass Sie eine Fälschung betrachten, bis Sie die Adressleiste überprüfen. Alle diese gefälschten Seiten sind in Kiew registriert, Ukraine, aber die E-Mail-Adressen der Domaininhaber sind unterschiedlich und gehören zu verschiedenen Ländern. Es scheint, dass eine solche Wahl des Hosting-Standorts nur eine Möglichkeit ist, die Tracks zu verwirren.

Hier ist die Liste der Site-URLs, die die ursprüngliche Site nachahmen:

Fernzugriff-Trojaner, oder RAT, ist ein Malware-Typ, der es Dritten ermöglicht, ohne Autorisierung auf den PC des Opfers zuzugreifen. Die Art und Weise, wie dieser Trojaner seine Arbeit verrichtet, ist anders, aber es ist immer ein schlimmer fall. Es hat Backdoor-Funktionen auf seiner Basis, aber im Gegensatz zu Hintertüren, es kann auch viele zusätzliche Funktionen tragen. Noch schlimmer ist es, wenn es nicht als unseriöses Werkzeug getarnt ist, aber als Anti-Malware-Software.

Wie sieht und funktioniert Sarwent??

The Sarwent RAT even tries to mimic the legit AntiPegasus – at least, seine Schnittstelle wiederholt das Original. It also imitates the functionality of a real program – tabs with settings, Scanverlauf und andere Elemente. dennoch, der auf Delphi geschriebene Remote-Access-Trojaner ist direkt drin. Die genaue Motivation, sowie Aktionen dieses Trojaners, sind nicht klar. genau, es sind nur 150 Opfer eines solchen Betrugs auf der ganzen Welt. Die meisten Opfer kommen aus Großbritannien (142 Benutzer), vier User aus den USA und ein weiterer 4 – from the Commonwealth of Independent States. Es ist seltsam, die GUS-Staaten in der Liste der angegriffenen Länder zu sehen, da Cyberkriminelle aus der GUS normalerweise vermeiden, ihre eigenen Länder anzugreifen. jedoch, das ist der andere Beweis für die Theorie, dass Gastgeber in Kiew nur die Gleise verwirren.

Der genaue Sarwent hat eine ganz typische Funktionalität wie für den Remote-Access-Trojaner. Es stellt den Fernzugriff auf den infizierten PC über RDP oder PowerShell her. Nachdem Sie die Verbindung hergestellt und alle erforderlichen Änderungen vorgenommen haben, diese RAT kann die Daten stehlen, Starten Sie die Apps, oder als Trojaner-Downloader agieren. Der Kommandoserver dieses Trojaners arbeitet in der Medizinsystemwelt[.]com-Domain.