Cisco Talos descubre RAT bajo la apariencia de AntiPegasus

Programa AntiPegasus, una herramienta anti-spyware, tiene un hermano gemelo malicioso. Uno de los frescos investigaciones que fueron realizados por Cisco Talos mostraron una enorme campaña de fraude. Circulaba entre las personas que instalaron y utilizaron el programa antes mencionado para detener el software espía Pegasus.. En lugar de AntiPegasus, los usuarios obtenían Sarwent RAT.

¿Qué son Pegasus y AntiPegasus??

AntiPegasus es un programa anti-spyware que está diseñado específicamente para detener el Pegasus software espía. Fue desarrollado por Amnistía Internacional, la organización no comercial con sede en el Reino Unido que se encargó del uso de Pegasus por parte de varios gobiernos. Este software puede clasificarse como un programa anti-malware., pero aun tiene la unica tarea – encontrar y eliminar Pegasus. Hace su tarea bastante bien y ofrece un modo de demostración gratuito.

Sitio AntiPegasus
Sitio web de Amnistía Internacional, donde la gente solía obtener AntiPegasus

Pegasus en sí es un proyecto de Firma israelí NSO Group. Este software espía puede leer mensajes de texto., escuchar conversaciones telefónicas, rastrear la ubicación, recopilar contraseñas, y muchas otras cosas típicas del software espía. de hecho, Pegasus es un software espía de grado militar que puede obtener cualquier tipo de información del dispositivo infectado.. Los desarrolladores de NSO (que pertenecía a la empresa estadounidense Francisco Partners en ese momento) afirmó que este desarrollo proporciona “gobiernos autorizados con tecnología que les ayuda a combatir el terrorismo y el crimen.” Sin embargo, Hubo muchos casos en los que algunas estructuras criminales utilizaron este software para sus propios fines.. Algunos países también lo utilizaron para espiar a periodistas o figuras públicas que son objetables para el gobierno..

¿Cómo ocurrió el fraude AntiPegasus??

Amnistía Internacional está difundiendo la herramienta AntiPegasus en su sitio web oficial. Los estafadores que difundieron el virus falsificaron el sitio web de una herramienta anti-spyware. Estos sitios falsos (Cisco Talos detectado 3 tales páginas) son bastante similares al sitio web original de Amnistía. Vale la pena decir que los estafadores hicieron un gran trabajo copiando el sitio original. es bastante difícil entender que estás viendo una falsificación hasta que revisas la barra de direcciones. Todos estos sitios falsos están registrados en Kiev, Ucrania, pero las direcciones de correo electrónico de los propietarios del dominio son diferentes y pertenecen a varios países. Parece que tal elección de la ubicación de alojamiento es solo una forma de confundir las pistas.

Aquí está la lista de URL de sitios que imitan el sitio original.:
  • medicalsystemworld[.]sitio
  • antipegasusamnistía[.]con
  • amnistíavspegaso[.]con
  • amnistía internacional antipegaso[.]con
  • mementomoriforlife[.]ru
  • siempre esforzarse y prosperar[.]espacio
  • Troyano de acceso remoto, o rata, es un tipo de malware diseñado para permitir que un tercero acceda a la PC de la víctima sin ninguna autorización. La forma en que este troyano hace su trabajo es diferente, pero siempre es un mal caso. Tiene funciones de puerta trasera en su base, pero a diferencia de las puertas traseras, también puede tener muchas funciones adicionales. Peor aún es el caso cuando no se disfraza como una herramienta dudosa., pero como software anti-malware.

    ¿Cómo se ve y funciona Sarwent??

    El Sarwent RAT incluso intenta imitar al legítimo AntiPegasus. – al menos, su interfaz repite la original. También imita la funcionalidad de un programa real. – pestañas con configuraciones, escanear el historial y otros elementos. Sin embargo, el troyano de acceso remoto escrito en Delphi está dentro. La motivación exacta, así como las acciones realizadas por ese troyano, no son claras. exactamente, solo hay 150 víctimas de tal estafa en todo el mundo. La mayoría de las víctimas son de Gran Bretaña. (142 usuarios), cuatro usuarios de EE. UU. y otro 4 – de la Comunidad de Estados Independientes. Es extraño ver a los países de la CEI en la lista de atacados, ya que generalmente los ciberdelincuentes de la CEI evitan atacar a sus propios países.. sin embargo, esa es la otra prueba de la teoría de que alojar en Kiev es simplemente confundir las pistas.

    Interfaz AntiPegasus
    La interfaz del programa AntiPegasus

    El Sarwent exacto tiene una funcionalidad bastante típica en cuanto al troyano de acceso remoto. Establece acceso remoto a la PC infectada a través de RDP o PowerShell. Después de establecer la conexión y realizar todos los cambios necesarios, esta RAT es capaz de robar los datos, lanzar las aplicaciones, o actuar como un descargador de troyanos. El servidor de comandos de este troyano funciona en medicalsystemworld[.]dominio com.

    Polina Lisovskaya

    Trabajo como gerente de marketing desde hace años y me encanta buscar temas interesantes para ti.

    Deja una respuesta

    Botón volver arriba