< p class="meta"> Di Charlie Osborne per Zero Day | 30 settembre 2021 | Argomento: Sicurezza
Una recente indagine su come lo spyware Pegasus viene utilizzato per monitorare agenzie per i diritti civili, giornalisti e figure governative in tutto il mondo viene abusata in una nuova ondata di attacchi informatici.
Pegasus è un sistema di sorveglianza offerto dal Gruppo NSO. Sebbene pubblicizzato come software per combattere la criminalità e il terrorismo, un'indagine sullo spyware ha portato ad accuse di essere utilizzato contro innocenti, inclusi attivisti per i diritti umani, attivisti politici, avvocati, giornalisti e politici di tutto il mondo.
Il gruppo NSO con sede in Israele ha negato i risultati dell'indagine, condotta da Amnesty International, Forbidden Stories e numerosi media.
Da allora Apple ha corretto una vulnerabilità zero-day utilizzata da Pegasus, una scoperta fatta insieme a Citizen Lab.
Ora, i criminali informatici non collegati a Pegasus stanno tentando di capitalizzare il rapporto dannoso promettendo agli individui un modo per “proteggersi” da tale sorveglianza, ma stanno invece segretamente implementando i propri marchi di malware.
Giovedì, i ricercatori di Cisco Talos hanno affermato che gli attori delle minacce si mascherano da Amnesty International e hanno creato un dominio falso progettato per impersonare il sito Web legittimo dell'organizzazione.
Questo punta a uno strumento “antivirus”, “AVPegasus”, che promette di proteggere i PC dallo spyware.
Cisco Talos
Tuttavia, secondo i ricercatori di Talos Vitor Ventura e Arnaud Zobec, il software contiene il Sarwent Remote Access Trojan (RAT).
I domini associati alla campagna sono amnestyinternationalantipegasus[.]com, amnestyvspegasus[.]com e antipegasusamnesty[.]com.
Scritto in Delphi, Sarwent installa una backdoor sulle macchine quando viene eseguito ed è anche in grado di sfruttare un protocollo desktop remoto (RDP) per connettersi a un server di comando e controllo (C2) controllato da un aggressore.
Il malware tenterà di esfiltrare le credenziali ed è anche in grado di scaricare ed eseguire ulteriori payload dannosi.
Regno Unito, Stati Uniti, Russia, India, Ucraina, Repubblica Ceca, Romania e Colombia sono i paesi più presi di mira fino ad oggi. Talos crede che l'attaccante informatico dietro questa campagna sia un russofono che ha operato altri attacchi basati su Sarwent nel 2021.
“La campagna si rivolge a persone che potrebbero essere preoccupate di essere prese di mira dallo spyware Pegasus”, afferma Talos. “Questo obiettivo solleva problemi di possibile coinvolgimento dello stato, ma non ci sono informazioni sufficienti a disposizione di Talos per prendere una decisione. È possibile che si tratti semplicemente di un attore motivato finanziariamente che cerca di sfruttare i titoli per ottenere un nuovo accesso”.
Copertura precedente e correlata
Spyware Pegasus di NSO Group utilizzato contro giornalisti e attivisti politici in tutto il mondo
Il capo di WhatsApp afferma che funzionari governativi e alleati degli Stati Uniti presi di mira dallo spyware Pegasus
L'FBI avvia un'indagine sullo spyware Pegasus venditore di attacchi informatici ai cittadini statunitensi
Hai un consiglio? Mettiti in contatto in modo sicuro tramite WhatsApp | Segnale al +447713 025 499 o tramite Keybase: charlie0
Argomenti correlati:
Security TV Data Management CXO Data Center 