Cisco Talos revela RAT sob o disfarce de AntiPegasus

Programa AntiPegasus, uma ferramenta anti-spyware, tem um irmão gêmeo malicioso. Um dos frescos investigações que foram feitas pelo Cisco Talos mostrou uma enorme campanha de fraude. Estava circulando entre as pessoas que instalaram e usaram o referido programa para impedir o spyware Pegasus. Em vez de AntiPegasus, os usuários estavam recebendo o Sarwent RAT.

O que são Pegasus e AntiPegasus?

AntiPegasus é um programa anti-spyware que é projetado especificamente para parar o Pegasus spyware. Foi desenvolvido pela Amnistia Internacional, a organização não comercial sediada no Reino Unido que cuidou do uso de Pegasus por vários governos. Este software pode ser classificado como um programa anti-malware, mas ainda tem a única tarefa – encontrar e remover Pegasus. Ele cumpre sua tarefa muito bem e oferece um modo de demonstração gratuito.

Site AntiPegasus
Site da Anistia Internacional, onde as pessoas costumavam obter o AntiPegasus

Pegasus em si é um projeto de Firma israelense NSO Group. Este spyware é capaz de ler mensagens de texto, ouvir conversas telefônicas, rastrear a localização, coletar senhas, e muitas outras coisas típicas de spyware. de fato, Pegasus é um spyware de nível militar que é capaz de obter qualquer tipo de informação do dispositivo infectado. Os desenvolvedores da NSO (que pertencia à empresa com sede nos Estados Unidos Francisco Partners naquele momento) alegou que este desenvolvimento fornece “governos autorizados com tecnologia que os ajuda a combater o terrorismo e o crime.” Não obstante, houve muitos casos em que algumas estruturas criminosas usaram este software para seus próprios fins. Alguns países também o utilizaram para espionar jornalistas ou figuras públicas questionáveis ​​ao governo.

Como a fraude AntiPegasus aconteceu?

A Anistia Internacional está divulgando a ferramenta AntiPegasus em seu site oficial. Os fraudadores que espalharam o vírus falsificaram o site de uma ferramenta anti-spyware. Esses sites falsos (Cisco Talos detectado 3 tais páginas) são muito semelhantes ao site original da Anistia. Vale a pena dizer que os fraudadores fizeram um ótimo trabalho ao copiar o site original. é muito difícil entender que você está vendo uma falsificação até verificar a barra de endereço. Todos esses sites falsos estão registrados em Kiev, Ucrânia, mas os endereços de e-mail dos proprietários de domínio são diferentes e pertencem a vários países. Parece que essa escolha do local de hospedagem é apenas uma forma de confundir as faixas.

Aqui está a lista de URLs de sites que imitam o site original:
  • medicalsystemworld[.]local
  • antipegasusamnistia[.]com
  • amnestyvspegasus[.]com
  • anistia internacional antípede[.]com
  • mementomoriforlife[.]ru
  • Sempre se esforçar e prosperar[.]espaço
  • Trojan de acesso remoto, ou RAT, é um tipo de malware projetado para permitir que terceiros acessem o PC da vítima sem qualquer autorização. A forma como este trojan faz seu trabalho é diferente, mas é sempre um caso ruim. Tem funções de backdoor em sua base, mas em contraste com backdoors, ele também pode ter muitas funcionalidades adicionais. Pior ainda é o caso quando não está disfarçado como uma ferramenta duvidosa, mas como software anti-malware.

    Como Sarwent se parece e funciona?

    O Sarwent RAT até tenta imitar o legítimo AntiPegasus – finalmente, sua interface repete a original. Ele também imita a funcionalidade de um programa real – guias com configurações, escanear o histórico e outros elementos. Não obstante, o trojan de acesso remoto escrito em Delphi está bem dentro. A motivação exata, bem como as ações feitas por esse trojan, não são claros. exatamente, tem apenas 150 vítimas de tal golpe em todo o mundo. A maioria das vítimas são da Grã-Bretanha (142 Comercial), quatro usuários dos EUA e outro 4 – da Comunidade de Estados Independentes. É estranho ver os países da CEI na lista de atacados, já que normalmente os cibercriminosos da CEI evitam atacar seus próprios países. Contudo, essa é a outra prova da teoria de que hospedar em Kiev é apenas confundir as pistas.

    Interface AntiPegasus
    A interface do Programa AntiPegasus

    O Sarwent exato tem uma funcionalidade bastante típica para o trojan de acesso remoto. Estabelece acesso remoto ao PC infectado via RDP ou PowerShell. Depois de estabelecer a conexão e fazer todas as alterações necessárias, este RAT é capaz de roubar os dados, inicie os aplicativos, ou atuar como um downloader de trojan. O servidor de comando deste trojan funciona no mundo médico do sistema[.]com domínio.

    Polina Lisovskaya

    Trabalho como gerente de marketing há anos e adoro pesquisar tópicos interessantes para você

    Deixe uma resposta

    Botão Voltar ao Topo