Cisco Talos avdekker RAT under dekke av AntiPegasus

AntiPegasus -program, et anti-spyware verktøy, har en ondsinnet tvillingbror. En av de ferske undersøkelser som ble gjort av Cisco Talos viste en enorm svindelkampanje. Det sirkulerte blant menneskene som installerte og brukte det ovennevnte programmet for å stoppe Pegasus -spionprogrammet. I stedet for AntiPegasus, brukere fikk Sarwent RAT.

Hva er Pegasus og AntiPegasus?

AntiPegasus er en antispionprogram som er designet spesielt for å stoppe Pegasus spyware. Det ble utviklet av Amnesty International, den ikke-kommersielle organisasjonen i Storbritannia som tok seg av bruken av Pegasus av flere regjeringer. Denne programvaren kan klassifiseres som et anti-malware program, men den har fortsatt den eneste oppgaven – finne og fjerne Pegasus. Den gjør oppgaven ganske bra og tilbyr en gratis demomodus.

AntiPegasus -nettsted
Nettstedet til Amnesty International, der folk pleide å få AntiPegasus

Pegasus selv er et prosjekt av Det israelske firmaet NSO Group. Denne spyware kan lese tekstmeldinger, høre telefonsamtaler, spore plasseringen, samle passord, og mange andre ting som er typiske for spionprogrammer. faktisk, Pegasus er spionprogrammer av militær klasse som er i stand til å få all form for informasjon fra den infiserte enheten. Utviklerne fra NSO (som tilhørte det amerikanske selskapet Francisco Partners på det tidspunktet) hevdet at denne utviklingen gir “autoriserte regjeringer med teknologi som hjelper dem å bekjempe terror og kriminalitet.” likevel, Det var mange tilfeller da noen kriminelle strukturer brukte denne programvaren til sine egne formål. Noen land benyttet seg også av det for å spionere på journalister eller offentlige personer som er kritikkverdig for regjeringen.

Hvordan skjedde AntiPegasus -svindelen?

Amnesty International sprer AntiPegasus -verktøyet på deres offisielle nettsted. Svindlere som spredte viruset forfalsket nettstedet til et anti-spyware-verktøy. Disse falske nettstedene (Cisco Talos oppdaget 3 slike sider) er ganske lik det opprinnelige Amnesty -nettstedet. Verdt å si at svindlere gjorde en god jobb med å kopiere det opprinnelige nettstedet. det er ganske vanskelig å forstå at du ser på en forfalskning til du sjekker adresselinjen. Alle disse falske nettstedene er registrert i Kiev, Ukraina, men e -postadressene til domeneeierne er forskjellige og tilhører forskjellige land. Det ser ut til at et slikt valg av vertssted bare er en måte å forvirre sporene på.

Her er listen over nettstedets nettadresser som etterligner det opprinnelige nettstedet:
  • medicalsystemworld[.]nettstedet
  • antipegasusamnesti[.]med
  • amnestyvspegasus[.]med
  • amnestiinternasjonaltantipegasus[.]med
  • mementomoriforlife[.]ru
  • alltidstriv og fremskritt[.]rom
  • Fjernadgangstrojaner, eller RAT, er en skadelig programvare som er utformet for å gi tredjepart tilgang til offerets PC uten autorisasjon. Måten denne trojaneren gjør jobben sin er annerledes, men det er alltid en dårlig sak. Den har bakdørfunksjoner på grunnlag, men i motsetning til bakdører, den kan også inneholde mye ekstra funksjonalitet. Enda verre er tilfellet når det er forkledd ikke som et tvilsomt verktøy, men som anti-malware programvare.

    Hvordan ser og fungerer Sarwent ut?

    Sarwent RAT prøver til og med å etterligne den legitime AntiPegasus – i det minste, grensesnittet gjentar det opprinnelige. Det etterligner også funksjonaliteten til et ekte program – faner med innstillinger, skanne historie og andre elementer. likevel, fjerntilgangstrojanen skrevet på Delphi er rett inne. Den eksakte motivasjonen, så vel som handlinger utført av den trojaneren, er ikke klare. nøyaktig, det er bare 150 ofre for en slik svindel i hele verden. Flertallet av ofrene er fra Storbritannia (142 brukere), fire brukere fra USA og en annen 4 – fra Samveldet av uavhengige stater. Det er rart å se CIS -landene på listen over angrepne siden vanligvis cyberkriminelle fra CIS unngår å angripe sine egne land. derimot, det er det andre beviset på teorien om at hosting i Kiev bare forvirrer sporene.

    AntiPegasus -grensesnitt
    Grensesnittet til AntiPegasus -programmet

    Den eksakte Sarwent har ganske typisk funksjonalitet som for fjerntilgangstrojaneren. Den etablerer ekstern tilgang til den infiserte PC -en via RDP eller PowerShell. Etter å ha etablert forbindelsen og gjort alle nødvendige endringer, denne RAT er i stand til å stjele dataene, starte appene, eller fungere som en trojansk nedlasting. Kommandotjeneren til denne trojaneren fungerer i medisinsk systemverden[.]com -domene.

    Polina Lisovskaya

    Jeg jobber som markedssjef i mange år nå og elsker å søke etter interessante emner for deg

    Legg igjen et svar

    Tilbake til toppen-knappen