AntiPegasus-programma, een anti-spyware tool, heeft een kwaadaardige tweelingbroer. Een van de verse onderzoeken die werden gedaan door Cisco Talos toonde een enorme fraudecampagne. Het circuleerde onder de mensen die het bovengenoemde programma hebben geïnstalleerd en gebruikt om de Pegasus-spyware te stoppen. In plaats van AntiPegasus, gebruikers kregen de Sarwent RAT.
Wat zijn Pegasus en AntiPegasus?
AntiPegasus is een anti-spyware programma die speciaal is ontworpen om de Pegasus te stoppen spyware. Het is ontwikkeld door Amnesty International, de in het VK gevestigde niet-commerciële organisatie die zorgde voor het gebruik van Pegasus door verschillende regeringen. Deze software kan worden geclassificeerd als een anti-malwareprogramma, maar het heeft nog steeds de enige taak – zoek en verwijder Pegasus. Het doet zijn taak redelijk goed en biedt een gratis demo-modus.
Pegasus zelf is een project van Israëlische firma NSO Group. Deze spyware kan tekstberichten lezen, telefoongesprekken afluisteren, volg de locatie, verzamel wachtwoorden, en een heleboel andere dingen die typisch zijn voor spyware. eigenlijk, Pegasus is spyware van militaire kwaliteit die elk type informatie van het geïnfecteerde apparaat kan krijgen. De ontwikkelaars van NSO (dat op dat moment toebehoorde aan het in de VS gevestigde bedrijf Francisco Partners) beweerde dat deze ontwikkeling “geautoriseerde regeringen met technologie die hen helpt terrorisme en misdaad te bestrijden.” niettemin, er waren veel gevallen waarin sommige criminele structuren deze software voor hun eigen doeleinden gebruikten. Sommige landen maakten er ook gebruik van om journalisten of publieke figuren te bespioneren die verwerpelijk zijn voor de overheid.
Hoe is de AntiPegasus-fraude ontstaan??
Amnesty International verspreidt de AntiPegasus-tool op hun officiële website. Fraudeurs die het virus verspreidden, hebben de website van een antispywareprogramma vervalst. Deze nepsites (Cisco Talos gedetecteerd 3 zulke pagina's) zijn vrij gelijkaardig aan de originele Amnesty-website. Het is de moeite waard om te zeggen dat fraudeurs uitstekend werk hebben geleverd door de originele site te kopiëren. het is vrij moeilijk te begrijpen dat u naar een vervalsing kijkt totdat u de adresbalk controleert. Al deze nepsites zijn geregistreerd in Kiev, Oekraïne, maar de e-mailadressen van domeineigenaren zijn verschillend en behoren tot verschillende landen. Het lijkt erop dat een dergelijke keuze van de hostinglocatie slechts een manier is om de tracks te verwarren.
Hier is de lijst met site-URL's die de originele site nabootsen:
Trojan voor toegang op afstand, of RAT, is een malwaretype dat is ontworpen om de derde partij toegang te geven tot de pc van het slachtoffer zonder enige autorisatie. De manier waarop deze trojan zijn werk doet, is anders, maar het is altijd een slechte zaak. Het heeft backdoor-functies op zijn basis, maar in tegenstelling tot achterdeuren, het kan ook veel extra functionaliteit bevatten. Nog erger is het geval wanneer het niet is vermomd als een twijfelachtig hulpmiddel, maar als anti-malwaresoftware.
Hoe ziet en werkt Sarwent??
De Sarwent RAT probeert zelfs de legitieme AntiPegasus na te bootsen – tenminste, de interface herhaalt de originele. Het imiteert ook de functionaliteit van een echt programma – tabbladen met instellingen, scangeschiedenis en andere elementen. niettemin, de trojan voor externe toegang die op Delphi is geschreven, bevindt zich binnenin. De exacte motivatie, evenals acties uitgevoerd door die trojan, zijn niet duidelijk. precies, er zijn alleen 150 slachtoffers van zo'n zwendel in de hele wereld. De meerderheid van de slachtoffers komt uit Groot-Brittannië (142 gebruikers), vier gebruikers uit de VS en nog een 4 – van het Gemenebest van Onafhankelijke Staten. Het is vreemd om de GOS-landen in de lijst van aangevallen landen te zien, aangezien cybercriminelen uit GOS meestal vermijden hun eigen land aan te vallen. Echter, dat is het andere bewijs van de theorie dat hosting in Kiev alleen maar de tracks verwart.
De exacte Sarwent heeft vrij typische functionaliteit als voor de trojan met toegang op afstand. Het zorgt voor externe toegang tot de geïnfecteerde pc via RDP of PowerShell. Nadat de verbinding tot stand is gebracht en alle vereiste wijzigingen zijn aangebracht, deze RAT kan de gegevens stelen, start de apps, of handel als een trojan-downloader. De commandoserver van deze trojan werkt in de medische systeemwereld[.]com domein.
