Strach przed Pegasusem pomaga hakerom wykradać poufne dane

Hakerzy zainicjowali ostatnio szereg nowych kampanii atakujących smartfony i pecety, wykorzystując w sprytny sposób fakt, że wiele niezależnych organizacji prowadzi śledztwa dotyczące wykorzystywania przez rządy niektórych krajów oprogramowania Pegasus i wielu użytkowników boi się panicznie tego zagrożenia.

Foto: Anete Lusina/Pexels

Jak wiadomo, jest to oprogramowanie używane do włamywania się do smartfonów i wykradania z nich poufnych informacji. Jest to narzędzie typu spyware stworzone przez izraelską firmę NSO Group. I chociaż jego twórcy twierdzą, że zostało opracowane z myślą o zwalczaniu przestępczości i terroryzmu, jest często wykorzystywane przez niektóre rządy do szpiegowania nie wygodnych dla nich osób, takich jak działacze walczący o prawa człowieka, dziennikarze czy po prostu przeciwnicy polityczni.

Wiedząc o tym, jak duże zainteresowanie budzi ta sprawa, hakerzy rozsyłają wiadomości, w których obiecują, że są w stanie przeciwdziałać temu zagrożeniu i oferują programy, które mają chronić np. użytkownika smartfona przez Pegasusem. Jak nietrudno się domyślić, programy takie nie chronią wcale użytkownika przez inwigilacją, za to instalują w pamięci urządzenia malware.

Zobacz również:

  • Mobile Verification Toolkit sprawdzi, czy nasz smartfon nie był szpiegowany
  • Apple pozywa firmę produkującą oprogramowanie Pegasus do sądu
  • Hakerzy wzmagają ataki na urządzenia IoT

Aby wzbudzić zaufanie, hakerzy podszywają się pod aktywistów znanej organizacji Amnesty International i tworzą nawet fałszywe domeny, które pomagają im uprawiać ten niecny proceder. Scenariusz ataku jest prosty. Funkcjonująca w tej domenie witryna oferuje użytkownikom np. antywirusa „AVPegasus”, który obiecuje chronić komputery i smartfony przed oprogramowaniem szpiegującym.

Witryny takie odkryli ostatnio informatycy z firmy Cisco Talos, którzy informują iż w tym fałszywym antywirusie znajduje się tak naprawdę znany trojan RAT noszący nazwę Sarwent. Co dzieje się tak naprawdę po zainstalowaniu takiego „antywirusa”, to zależy już od inwencji hakera. Jak dotąd informatykom z Cisco udało się namierzyć fałszywe domeny oferujące opisywany malware, takie jak amnestyinternationalantipegasus.com, amnestyvspegasus.com oraz antipegasusamnesty.com.

Malware Sarwent napisany jest w języku Delphi i instaluje po uruchomieniu backdoora, który łączy serwerem C2 hakera wykorzystując do tego celu protokół zdalnego pulpitu RDP. Złośliwe oprogramowanie wykrada z urządzenia dane uwierzytelniające, a także może pobierać i uruchamiać kolejne złośliwe kody. Analiza zagrożenia daje podstawy do tego aby sądzić, że hakerzy pochodzą z Rosji.

W celu komercyjnej reprodukcji treści Computerworld należy zakupić licencję. Skontaktuj się z naszym partnerem, YGS Group, pod adresem [email protected]

TOP 200