Cisco Talos hat eine Kampagne in einem frühen Stadium entdeckt, die auf wenig informierte Benutzerinnen und Benutzer abzielt.
Ein Malware-Anbieter hat eine gefälschte Website erstellt, die sich als Amnesty International ausgibt. Dort wird leichtgläubigen Anwendern Software angeboten, die sie vor der Pegasus-Malware der NSO Group schützen soll. Tatsächlich handelt es sich jedoch um einen Remote-Access-Trojaner (RAT).
Diese Entwicklung macht sich die Angst vor der Pegasus-Malware zunutze und folgt der üblichen Entwicklung von Ködern zum Herunterladen von Malware (die in der Regel auf aktuellen Nachrichten basieren), wobei ein besonders hinterhältiger Vektor gewählt wurde, um diejenigen auszuspionieren, die auf der Suche nach Schutz vor fortschrittlichen Bedrohungen sind.
Die gefälschte Amnesty-Website sieht der echten sehr ähnlich. Sie bietet Benutzern an, die Software “AntiPegasus” auf einen Windows-Desktop herunterzuladen. Die Malware (denn um eine solche handelt es sich) “scannt” den Computer des Nutzers, während sie in Wirklichkeit einen Trojaner auf den Rechner schleust. Die bösartige Anwendung selbst ist oberflächlich getarnt, um technisch nicht versierte Benutzer in dem Glauben zu lassen, eine sichere Software heruntergeladen zu haben.
Cisco Talos entdeckte die gefälschte Website und analysierte den Download. Dabei stellte sich heraus, dass es sich um Sarwent RAT handelte.
“Die Talos-Forscher Vitor Ventura und Arnaud Zobec erklärten: “Sarwent verfügt über die üblichen Fähigkeiten eines Fernzugriffstools – hauptsächlich dient es als Hintertür auf dem Computer des Opfers – und kann auch das Remote-Desktop-Protokoll auf dem Computer des Opfers aktivieren, was dem Angreifer möglicherweise direkten Zugriff auf den Desktop ermöglicht.
Bei Pegasus handelt es sich um eine vom israelischen Malware-Anbieter NSO Group entwickelte Suite von Exploits für das iPhone. Mindestens eine der von NSO ausgenutzten Schwachstellen wurde von Apple im September gepatcht. Dabei handelte es sich um eine Zero-Click-Schwachstelle in iMessage.
Die Schwachstelle wurde anscheinend sehr früh entdeckt. Talos stellte fest, dass seine E-Mail-Telemetrie die Schwachstelle nicht erkannte. Auch scheint sie nicht zu versuchen, Suchmaschinen zu ködern. Die Domains, die verwendet werden, um Benutzer zu verleiten, RAT herunterzuladen, stammen aus Großbritannien, den USA, Russland, Vietnam, Argentinien und der Slowakei.
“Cisco Talos geht mit hoher Wahrscheinlichkeit davon aus, dass der Akteur in diesem Fall ein in Russland ansässiger Mann ist, der seit mindestens Januar 2021 auf Sarwent basierende Angriffe durchführt und dabei ein breites Spektrum an Opferprofilen abdeckt”, so das Unternehmen.
Das Sicherheitsunternehmen geht davon aus, dass Sarwent aus dem Jahr 2014 stammt. Das ist für Malware-Verhältnisse ziemlich alt.
Fast so alt wie Malware ist die Verwendung gefälschter Domains und trojanisierter Downloads zur Verbreitung von Malware. Gefälschte Software-Aktivierungscodes sind ein Dauerbrenner. Staatlich gesponserte APTs haben in den letzten vier bis fünf Jahren mit unterschiedlichem Erfolg GDPR-Köder eingesetzt.
In einem viel größeren Maßstab schienen die 2017 von WikiLeaks veröffentlichten Dateien zu zeigen, dass die CIA einen Code geschrieben hatte, der sich als Kaspersky Labs ausgab, um das Abgreifen sensibler Daten ihrer Ziele zu erleichtern.
Amnesty International wurde um eine Stellungnahme gebeten. Die Organisation hat sich dazu geäußert, dass die NSO Group Malware und Hacking-Tools an fragwürdige Regierungen liefert, ebenso wie technisch orientierte Organisationen wie das kanadische Citizen Lab und die britische Privacy International.
Wir müssen Sie an unseren Ansatz in Sachen Verschlüsselung erinnern: Verschlüsselung ist für Normalbürger und schützt nur vor (einigen) Hackern. Vor Strafverfolgungsbehörden schützt sie überhaupt nicht, wie Sie in diesem Artikel lesen werden.
Dieser Angriff ermöglicht es einem Angreifer, die Verschlüsselung von VoLTE-Sprachanrufen zu knacken und die Anrufe abzuhören. Lesen Sie den ganzen Artikel
Verschlüsselte Anrufe schützen Sie vor denen, die Ihre Anrufe nicht abhören können, aber nicht vor denen, die Ihre Anrufe abhören können – den Strafverfolgungsbehörden. Lesen Sie mehr.
