Cisco Talos hat eine Kampagne in einem frühen Stadium entdeckt, die auf wenig informierte Benutzerinnen und Benutzer abzielt.
Ein Malware-Anbieter hat eine gefälschte Website erstellt, die sich als Amnesty International ausgibt. Dort wird leichtgläubigen Anwendern Software angeboten, die sie vor der Pegasus-Malware der NSO Group schützen soll. Tatsächlich handelt es sich jedoch um einen Remote-Access-Trojaner (RAT).
Diese Entwicklung macht sich die Angst vor der Pegasus-Malware zunutze und folgt der üblichen Entwicklung von Ködern zum Herunterladen von Malware (die in der Regel auf aktuellen Nachrichten basieren), wobei ein besonders hinterhältiger Vektor gewählt wurde, um diejenigen auszuspionieren, die auf der Suche nach Schutz vor fortschrittlichen Bedrohungen sind.
Die gefälschte Amnesty-Website sieht der echten sehr ähnlich. Sie bietet Benutzern an, die Software “AntiPegasus” auf einen Windows-Desktop herunterzuladen. Die Malware (denn um eine solche handelt es sich) “scannt” den Computer des Nutzers, während sie in Wirklichkeit einen Trojaner auf den Rechner schleust. Die bösartige Anwendung selbst ist oberflächlich getarnt, um technisch nicht versierte Benutzer in dem Glauben zu lassen, eine sichere Software heruntergeladen zu haben.
Cisco Talos entdeckte die gefälschte Website und analysierte den Download. Dabei stellte sich heraus, dass es sich um Sarwent RAT handelte.
“Die Talos-Forscher Vitor Ventura und Arnaud Zobec erklärten: “Sarwent verfügt über die üblichen Fähigkeiten eines Fernzugriffstools – hauptsächlich dient es als Hintertür auf dem Computer des Opfers – und kann auch das Remote-Desktop-Protokoll auf dem Computer des Opfers aktivieren, was dem Angreifer möglicherweise direkten Zugriff auf den Desktop ermöglicht.
Bei Pegasus handelt es sich um eine vom israelischen Malware-Anbieter NSO Group entwickelte Suite von Exploits für das iPhone. Mindestens eine der von NSO ausgenutzten Schwachstellen wurde von Apple im September gepatcht. Dabei handelte es sich um eine Zero-Click-Schwachstelle in iMessage.
Die Schwachstelle wurde anscheinend sehr früh entdeckt. Talos stellte fest, dass seine E-Mail-Telemetrie die Schwachstelle nicht erkannte. Auch scheint sie nicht zu versuchen, Suchmaschinen zu ködern. Die Domains, die verwendet werden, um Benutzer zu verleiten, RAT herunterzuladen, stammen aus Großbritannien, den USA, Russland, Vietnam, Argentinien und der Slowakei.