Jak wiadomo, jest to oprogramowanie używane do włamywania się do smartfonów i wykradania z nich poufnych informacji. Jest to narzędzie typu spyware stworzone przez izraelską firmę NSO Group. I chociaż jego twórcy twierdzą, że zostało opracowane z myślą o zwalczaniu przestępczości i terroryzmu, jest często wykorzystywane przez niektóre rządy do szpiegowania nie wygodnych dla nich osób, takich jak działacze walczący o prawa człowieka, dziennikarze czy po prostu przeciwnicy polityczni.

Wiedząc o tym, jak duże zainteresowanie budzi ta sprawa, hakerzy rozsyłają wiadomości, w których obiecują, że są w stanie przeciwdziałać temu zagrożeniu i oferują programy, które mają chronić np. użytkownika smartfona przez Pegasusem. Jak nietrudno się domyślić, programy takie nie chronią wcale użytkownika przez inwigilacją, za to instalują w pamięci urządzenia malware.

Zobacz również:

• Dzięki tej umowie polska policja zyska wiedzę i narzędzia zapobiegające cyfrowym zagrożeniom
• Co trzecia firma w Polsce z cyberincydentem

Aby wzbudzić zaufanie, hakerzy podszywają się pod aktywistów znanej organizacji Amnesty International i tworzą nawet fałszywe domeny, które pomagają im uprawiać ten niecny proceder. Scenariusz ataku jest prosty. Funkcjonująca w tej domenie witryna oferuje użytkownikom np. antywirusa „AVPegasus”, który obiecuje chronić komputery i smartfony przed oprogramowaniem szpiegującym.

Witryny takie odkryli ostatnio informatycy z firmy Cisco Talos, którzy informują iż w tym fałszywym antywirusie znajduje się tak naprawdę znany trojan RAT noszący nazwę Sarwent. Co dzieje się tak naprawdę po zainstalowaniu takiego „antywirusa”, to zależy już od inwencji hakera. Jak dotąd informatykom z Cisco udało się namierzyć fałszywe domeny oferujące opisywany malware, takie jak amnestyinternationalantipegasus.com, amnestyvspegasus.com oraz antipegasusamnesty.com.

Malware Sarwent napisany jest w języku Delphi i instaluje po uruchomieniu backdoora, który łączy serwerem C2 hakera wykorzystując do tego celu protokół zdalnego pulpitu RDP. Złośliwe oprogramowanie wykrada z urządzenia dane uwierzytelniające, a także może pobierać i uruchamiać kolejne złośliwe kody. Analiza zagrożenia daje podstawy do tego aby sądzić, że hakerzy pochodzą z Rosji.