Cisco Talos, AntiPegasus로 위장한 RAT 발견

안티페가수스 프로그램, 안티 스파이웨어 도구, 악의적인 쌍둥이 형제가 있다. 신선한 것 중 하나 조사 Cisco Talos가 수행한 대규모 사기 캠페인. Pegasus 스파이웨어를 차단하기 위해 앞서 언급한 프로그램을 설치하고 사용하는 사람들 사이에서 유포되었습니다.. 안티페가수스 대신, 사용자는 Sarwent RAT를 얻었습니다..

페가수스와 안티페가수스란??

안티페가수스는 안티 스파이웨어 프로그램 페가수스를 막기 위해 특별히 설계된 스파이웨어. 국제앰네스티에서 개발한, 여러 정부에서 Pegasus 사용을 담당한 영국 기반 비영리 단체. 이 소프트웨어는 맬웨어 방지 프로그램으로 분류될 수 있습니다., but it still has the only task – find and remove Pegasus. 그것은 꽤 잘 작업을 수행하고 무료 데모 모드를 제공합니다.

페가수스 자체는 프로젝트 이스라엘 기업 NSO 그룹. 이 스파이웨어는 문자 메시지를 읽을 수 있습니다., 전화 대화를 엿듣다, 위치를 추적, 비밀번호 수집, 그리고 스파이웨어에 전형적인 많은 다른 것들. 사실로, Pegasus는 감염된 장치에서 모든 유형의 정보를 얻을 수 있는 군사용 스파이웨어입니다.. NSO의 개발자 (당시 미국에 기반을 둔 회사인 Francisco Partners에 속한) claimed that this development provides “authorized governments with technology that helps them combat terror and crime.” Nonetheless, 일부 범죄 조직이 이 소프트웨어를 자신의 목적으로 사용한 경우가 많았습니다.. 일부 국가에서는 정부에 불쾌감을 주는 언론인이나 공인을 염탐하기 위해 이를 악용하기도 했습니다..

AntiPegasus 사기는 어떻게 발생했습니까??

국제앰네스티, 공식 웹사이트에 안티페가수스 도구 확산. 바이러스를 퍼뜨리는 사기꾼은 스파이웨어 방지 도구의 웹사이트를 위조했습니다.. 이러한 가짜 사이트 (Cisco Talos가 감지되었습니다. 3 그런 페이지) 원래 앰네스티 웹사이트와 매우 유사합니다.. 사기꾼이 원본 사이트를 복사하는 데 큰 역할을 했다고 말할 수 있습니다.. 주소 표시줄을 확인하기 전까지는 위조품을 보고 있다는 것을 이해하기가 매우 어렵습니다.. 이 모든 가짜 사이트는 키예프에 등록되어 있습니다., 우크라이나, 그러나 도메인 소유자의 이메일 주소는 다르며 여러 국가에 속합니다.. 그런 호스팅 위치 선택은 트랙을 혼동시키는 방법일 뿐인 것 같습니다..

다음은 원본 사이트를 모방한 사이트 URL 목록입니다.:

원격 액세스 트로이 목마, 또는 쥐, 제3자가 승인 없이 피해자의 PC에 접근할 수 있도록 설계된 악성코드 유형입니다.. 이 트로이 목마가 작동하는 방식이 다릅니다., 하지만 항상 나쁜 경우다.. 이를 기반으로 백도어 기능이 있습니다., 그러나 백도어와 달리, 또한 많은 추가 기능을 수행할 수 있습니다.. 의심스러운 도구가 아닌 위장한 경우가 더 나쁘다., 그러나 맬웨어 방지 소프트웨어로.

Sarwent는 어떻게 보이고 작동합니까??

The Sarwent RAT even tries to mimic the legit AntiPegasus – at least, 인터페이스는 원래 인터페이스를 반복합니다.. It also imitates the functionality of a real program – tabs with settings, 스캔 기록 및 기타 요소. 그럼에도 불구하고, Delphi에 작성된 원격 액세스 트로이 목마가 바로 내부에 있습니다.. 정확한 동기, 뿐만 아니라 해당 트로이 목마가 수행한 작업, 명확하지 않다. 바로 그거죠, 거기 엔 오직 150 전 세계적으로 그러한 사기의 피해자. 희생자 대부분은 영국 출신 (142 사용자), 미국 사용자 4명과 4 – from the Commonwealth of Independent States. 일반적으로 CIS의 사이버 범죄자는 자신의 국가를 공격하지 않기 때문에 공격을 받은 국가 목록에서 CIS 국가를 보는 것이 이상합니다.. 하나, 그것은 키예프에서 호스팅하는 것이 트랙을 혼란스럽게한다는 이론의 또 다른 증거입니다..

정확한 Sarwent는 원격 액세스 트로이 목마와 마찬가지로 매우 일반적인 기능을 가지고 있습니다.. RDP 또는 PowerShell을 통해 감염된 PC에 대한 원격 액세스를 설정합니다.. 연결을 설정하고 필요한 모든 변경을 수행한 후, 이 RAT는 데이터를 훔칠 수 있습니다, 앱을 실행, 또는 트로이 목마 다운로더 역할. 이 트로이 목마의 명령 서버는 의료 시스템 세계에서 작동합니다.[.]com 도메인.