• XCell Technologies

Der Download der "Anti-NSO Pegasus Spyware" ist in Wirklichkeit ein Trojaner - also Finger weg!

Cisco Talos entdeckt eine Kampagne im Frühstadium, die auf wenig informierte Benutzer abzielt.

Ein Malware-Händler hat eine gefälschte Website erstellt, die sich als Amnesty International ausgibt, um leichtgläubige Nutzer mit Software zu versorgen, die vorgibt, sie vor der Pegasus-Malware der NSO Group zu schützen. In Wirklichkeit handelt es sich um einen Fernzugriffs-Trojaner (RAT).


Diese Entwicklung nutzt die Ängste vor der Pegasus-Malware aus und greift die übliche Entwicklung von Malware-Download-Ködern auf (welche sich in der Regel an aktuellen Nachrichten orientieren) dabei wählen sie einen besonders fiesen Vektor aus, um diejenigen auszuspionieren, die Schutz vor fortgeschrittenen Bedrohungen suchen.


Die gefälschte Amnesty-Website sieht der echten Website sehr ähnlich und bietet den Benutzern eine "AntiPegasus"-Software zum Download auf einen Windows-Desktop an. Die Malware (denn darum handelt es sich) "scannt" den Rechner des Benutzers, während sie in Wirklichkeit einen Trojaner einschleust. Die bösartige Anwendung selbst ist oberflächlich getarnt, um technisch nicht versierte Benutzer in dem Glauben zu lassen, sie hätten sichere Software heruntergeladen.


Cisco Talos entdeckte die gefälschte Website, analysierte den Download und stellte fest, dass es sich um den Sarwent RAT handelt.


"Sarwent verfügt über die üblichen Fähigkeiten eines Fernzugriffstools - hauptsächlich dient es als Hintertür auf dem Opfercomputer - und kann außerdem den Remote-Desktop-Protokoll auf dem Opfercomputer aktivieren, was dem Angreifer möglicherweise den direkten Zugriff auf den Desktop ermöglicht", so die Talos-Forscher Vitor Ventura und Arnaud Zobec.


Pegasus ist eine iPhone-Exploit-Suite, die vom israelischen Malware-Anbieter NSO Group entwickelt wurde. Mindestens eine der von NSO ausgenutzten Schwachstellen wurde von Apple im September gepatcht, da es sich um eine Zero-Click-Schwachstelle in iMessage handelte.


Die Website scheint in einem sehr frühen Stadium entdeckt worden zu sein, denn Talos stellt fest, dass ihre E-Mail-Telemetrie sie nicht erfasst hat. Es gibt auch keine Suchmaschinen-Köder. Die Domains, die verwendet wurden, um Benutzer zum Herunterladen des RAT zu verleiten, reichen von Großbritannien über die USA, Russland, Vietnam und Argentinien bis hin zur Slowakei.

  • Ransomware-Krimineller: Ja, was ich mache, ist schlecht. Nein, das ist mir egal. Ja, Sicherheitsexperten haben den Mund voll und keine Hosen an

  • Angriffe auf Remote Desktop Protocol-Endpunkte sind in diesem Jahr explodiert, warnt der neueste ESET Threat Report

  • Schauen Sie einem GriftHorse nicht ins Maul: Trojaner zertrampelt 10 Millionen Android-Geräte

  • Kaspersky bringt neue Tomiris-Malware mit Nobelium-Gruppe in Verbindung

"Cisco Talos geht mit hoher Wahrscheinlichkeit davon aus, dass es sich bei dem Akteur in diesem Fall um einen in Russland ansässigen Russen handelt, der seit mindestens Januar 2021 Sarwent-basierte Angriffe durchführt und dabei eine Vielzahl von Opferprofilen abdeckt", so das Unternehmen.


Das Sicherheitsunternehmen geht davon aus, dass Sarwent aus dem Jahr 2014 stammt - für Malware-Verhältnisse ziemlich alt.


Die Verwendung von gefälschten Domains und trojanisierten Downloads zur Verbreitung von Malware ist fast so alt wie Malware selbst. Gefälschte Software-Aktivierungscodes sind ein Dauerbrenner, und staatlich unterstützte APTs haben in den letzten vier oder fünf Jahren mit unterschiedlichem Erfolg GDPR-Köder eingesetzt.


In einem weitaus größeren Ausmaß schienen 2017 von WikiLeaks veröffentlichte Dateien zu zeigen, dass die CIA einen Code geschrieben hat, um sich als Kaspersky Labs auszugeben, damit sensible Daten von ihren Zielen leichter abgeschöpft werden können.


Amnesty International wurde um eine Stellungnahme gebeten. Die Organisation hat sich über die Lieferung von Malware und Hacking-Tools durch die NSO Group an fragwürdige Regierungen geäußert, ebenso wie technisch orientierte Organisationen wie das kanadische Citizen Lab und die britische Privacy International.