blank

NEUESTE ARTIKEL

Anti-Pegasus Spyware

Blog icon verfasst durch XCell Technologies
Calendar icon

Publiziert am 16. August 2021

Der Download ist in Wirklichkeit ein Trojaner - also Finger weg!

Cisco Talos hat eine Kampagne in einem frühen Stadium entdeckt, die auf wenig informierte Benutzerinnen und Benutzer abzielt.

Ein Malware-Anbieter hat eine gefälschte Website erstellt, die sich als Amnesty International ausgibt. Dort wird leichtgläubigen Anwendern Software angeboten, die sie vor der Pegasus-Malware der NSO Group schützen soll. Tatsächlich handelt es sich jedoch um einen Remote-Access-Trojaner (RAT).

Diese Entwicklung macht sich die Angst vor der Pegasus-Malware zunutze und folgt der üblichen Entwicklung von Ködern zum Herunterladen von Malware (die in der Regel auf aktuellen Nachrichten basieren), wobei ein besonders hinterhältiger Vektor gewählt wurde, um diejenigen auszuspionieren, die auf der Suche nach Schutz vor fortschrittlichen Bedrohungen sind.

Die gefälschte Amnesty-Website sieht der echten sehr ähnlich. Sie bietet Benutzern an, die Software “AntiPegasus” auf einen Windows-Desktop herunterzuladen. Die Malware (denn um eine solche handelt es sich) “scannt” den Computer des Nutzers, während sie in Wirklichkeit einen Trojaner auf den Rechner schleust. Die bösartige Anwendung selbst ist oberflächlich getarnt, um technisch nicht versierte Benutzer in dem Glauben zu lassen, eine sichere Software heruntergeladen zu haben.

Cisco Talos entdeckte die gefälschte Website und analysierte den Download. Dabei stellte sich heraus, dass es sich um Sarwent RAT handelte.

“Die Talos-Forscher Vitor Ventura und Arnaud Zobec erklärten: “Sarwent verfügt über die üblichen Fähigkeiten eines Fernzugriffstools – hauptsächlich dient es als Hintertür auf dem Computer des Opfers – und kann auch das Remote-Desktop-Protokoll auf dem Computer des Opfers aktivieren, was dem Angreifer möglicherweise direkten Zugriff auf den Desktop ermöglicht.

Bei Pegasus handelt es sich um eine vom israelischen Malware-Anbieter NSO Group entwickelte Suite von Exploits für das iPhone. Mindestens eine der von NSO ausgenutzten Schwachstellen wurde von Apple im September gepatcht. Dabei handelte es sich um eine Zero-Click-Schwachstelle in iMessage.

Die Schwachstelle wurde anscheinend sehr früh entdeckt. Talos stellte fest, dass seine E-Mail-Telemetrie die Schwachstelle nicht erkannte. Auch scheint sie nicht zu versuchen, Suchmaschinen zu ködern. Die Domains, die verwendet werden, um Benutzer zu verleiten, RAT herunterzuladen, stammen aus Großbritannien, den USA, Russland, Vietnam, Argentinien und der Slowakei.

  • Ransomware-Kriminelle: Ja, was ich mache, ist falsch. Nein, es interessiert mich nicht. Ja, Sicherheitsexperten haben den Mund voll, aber keine Hosen an.
  • Der jüngste ESET Threat Report warnt, dass Angriffe auf Remote Desktop Protocol-Endpunkte in diesem Jahr explosionsartig zugenommen haben.
  • Einem GriftHorse sollte man nicht ins Maul schauen: Trojaner infiziert 10 Millionen Android-Geräte.
  • Kaspersky bringt neue Tomiris-Malware mit Nobelium-Gruppe in Verbindung.

“Cisco Talos geht mit hoher Wahrscheinlichkeit davon aus, dass der Akteur in diesem Fall ein in Russland ansässiger Mann ist, der seit mindestens Januar 2021 auf Sarwent basierende Angriffe durchführt und dabei ein breites Spektrum an Opferprofilen abdeckt”, so das Unternehmen.

Das Sicherheitsunternehmen geht davon aus, dass Sarwent aus dem Jahr 2014 stammt. Das ist für Malware-Verhältnisse ziemlich alt.

Fast so alt wie Malware ist die Verwendung gefälschter Domains und trojanisierter Downloads zur Verbreitung von Malware. Gefälschte Software-Aktivierungscodes sind ein Dauerbrenner. Staatlich gesponserte APTs haben in den letzten vier bis fünf Jahren mit unterschiedlichem Erfolg GDPR-Köder eingesetzt.

In einem viel größeren Maßstab schienen die 2017 von WikiLeaks veröffentlichten Dateien zu zeigen, dass die CIA einen Code geschrieben hatte, der sich als Kaspersky Labs ausgab, um das Abgreifen sensibler Daten ihrer Ziele zu erleichtern.

Amnesty International wurde um eine Stellungnahme gebeten. Die Organisation hat sich dazu geäußert, dass die NSO Group Malware und Hacking-Tools an fragwürdige Regierungen liefert, ebenso wie technisch orientierte Organisationen wie das kanadische Citizen Lab und die britische Privacy International.

Bleiben wir in Kontakt!

Gerne informieren wir Sie über aktuelle Beiträge und Angebote.

Weitere Beiträge

blank

Anti-Pegasus Spyware​

Ein Anbieter hat eine gefälschte Website eingerichtet, die vorgibt, von Amnesty International zu stammen, und Benutzern eine Software anbietet, die sie vor der Pegasus-Malware der NSO-Gruppe schützt. In Wirklichkeit handelt es sich um einen Remote Access Trojaner (RAT).

blank blank blank blank