Cisco Talos revela RAT sob o disfarce de AntiPegasus

Programa AntiPegasus, uma ferramenta anti-spyware, tem um irmão gêmeo malicioso. Um dos frescos investigações que foram feitas pelo Cisco Talos mostrou uma enorme campanha de fraude. Estava circulando entre as pessoas que instalaram e usaram o referido programa para impedir o spyware Pegasus. Em vez de AntiPegasus, os usuários estavam recebendo o Sarwent RAT.

O que são Pegasus e AntiPegasus?

AntiPegasus é um programa anti-spyware que é projetado especificamente para parar o Pegasus spyware. Foi desenvolvido pela Amnistia Internacional, a organização não comercial sediada no Reino Unido que cuidou do uso de Pegasus por vários governos. Este software pode ser classificado como um programa anti-malware, but it still has the only task – find and remove Pegasus. Ele cumpre sua tarefa muito bem e oferece um modo de demonstração gratuito.

Pegasus em si é um projeto de Firma israelense NSO Group. Este spyware é capaz de ler mensagens de texto, ouvir conversas telefônicas, rastrear a localização, coletar senhas, e muitas outras coisas típicas de spyware. de fato, Pegasus é um spyware de nível militar que é capaz de obter qualquer tipo de informação do dispositivo infectado. Os desenvolvedores da NSO (que pertencia à empresa com sede nos Estados Unidos Francisco Partners naquele momento) claimed that this development provides “authorized governments with technology that helps them combat terror and crime.” Nonetheless, houve muitos casos em que algumas estruturas criminosas usaram este software para seus próprios fins. Alguns países também o utilizaram para espionar jornalistas ou figuras públicas questionáveis ​​ao governo.

Como a fraude AntiPegasus aconteceu?

A Anistia Internacional está divulgando a ferramenta AntiPegasus em seu site oficial. Os fraudadores que espalharam o vírus falsificaram o site de uma ferramenta anti-spyware. Esses sites falsos (Cisco Talos detectado 3 tais páginas) são muito semelhantes ao site original da Anistia. Vale a pena dizer que os fraudadores fizeram um ótimo trabalho ao copiar o site original. é muito difícil entender que você está vendo uma falsificação até verificar a barra de endereço. Todos esses sites falsos estão registrados em Kiev, Ucrânia, mas os endereços de e-mail dos proprietários de domínio são diferentes e pertencem a vários países. Parece que essa escolha do local de hospedagem é apenas uma forma de confundir as faixas.

Aqui está a lista de URLs de sites que imitam o site original:

Trojan de acesso remoto, ou RAT, é um tipo de malware projetado para permitir que terceiros acessem o PC da vítima sem qualquer autorização. A forma como este trojan faz seu trabalho é diferente, mas é sempre um caso ruim. Tem funções de backdoor em sua base, mas em contraste com backdoors, ele também pode ter muitas funcionalidades adicionais. Pior ainda é o caso quando não está disfarçado como uma ferramenta duvidosa, mas como software anti-malware.

Como Sarwent se parece e funciona?

The Sarwent RAT even tries to mimic the legit AntiPegasus – at least, sua interface repete a original. It also imitates the functionality of a real program – tabs with settings, escanear o histórico e outros elementos. Não obstante, o trojan de acesso remoto escrito em Delphi está bem dentro. A motivação exata, bem como as ações feitas por esse trojan, não são claros. exatamente, tem apenas 150 vítimas de tal golpe em todo o mundo. A maioria das vítimas são da Grã-Bretanha (142 Comercial), quatro usuários dos EUA e outro 4 – from the Commonwealth of Independent States. É estranho ver os países da CEI na lista de atacados, já que normalmente os cibercriminosos da CEI evitam atacar seus próprios países. Contudo, essa é a outra prova da teoria de que hospedar em Kiev é apenas confundir as pistas.

O Sarwent exato tem uma funcionalidade bastante típica para o trojan de acesso remoto. Estabelece acesso remoto ao PC infectado via RDP ou PowerShell. Depois de estabelecer a conexão e fazer todas as alterações necessárias, este RAT é capaz de roubar os dados, inicie os aplicativos, ou atuar como um downloader de trojan. O servidor de comando deste trojan funciona no mundo médico do sistema[.]com domínio.