Nuevas funciones especiales
2024 ya lleva aquí un tiempo, y no es un año más: es un nuevo capítulo para empaparte de sabiduría, subir de nivel y ampliar tus conocimientos sobre Stealth Phones.
Cisco Talos detecta una campaña en fase inicial dirigida a usuarios poco informados.
Un vendedor de malware ha creado un sitio web falso haciéndose pasar por Amnistía Internacional para proporcionar a los usuarios crédulos un software que pretende protegerles del malware Pegasus de NSO Group. En realidad, se trata de un troyano de acceso remoto (RAT).
Este desarrollo se aprovecha de los temores sobre el malware Pegasus y retoma el desarrollo habitual de los señuelos de descarga de malware (que suelen basarse en noticias de actualidad), al tiempo que elige un vector especialmente desagradable para espiar a quienes buscan protección contra amenazas avanzadas.
El falso sitio web de Amnistía tiene un aspecto muy similar al real y ofrece a los usuarios descargar el software “AntiPegasus” en un escritorio de Windows. El malware (porque eso es lo que es) “escanea” el ordenador del usuario, mientras que en realidad inyecta un troyano. La propia aplicación maliciosa se disfraza superficialmente para engañar a los usuarios sin conocimientos técnicos y hacerles creer que han descargado un software seguro.
Cisco Talos descubrió el sitio web falso, analizó la descarga y determinó que se trataba de la RAT Sarwent.
“Sarwent tiene las capacidades habituales de una herramienta de acceso remoto -principalmente servir como puerta trasera en el ordenador víctima- y también puede habilitar el protocolo de escritorio remoto en el ordenador víctima, permitiendo potencialmente al atacante acceder directamente al escritorio”, dijeron los investigadores de Talos Vitor Ventura y Arnaud Zobec.
Pegasus es una suite de exploits para iPhone desarrollada por el proveedor israelí de malware NSO Group. Al menos una de las vulnerabilidades explotadas por NSO fue parcheada por Apple en septiembre, ya que se trataba de una vulnerabilidad de clic cero en iMessage.
El sitio parece haber sido descubierto en una fase muy temprana, ya que Talos señala que su telemetría de correo electrónico no lo ha detectado. Tampoco hay ningún cebo en los motores de búsqueda. Los dominios utilizados para inducir a los usuarios a descargar la RAT van desde el Reino Unido hasta los Estados Unidos, pasando por Rusia, Vietnam, Argentina y Eslovaquia.
“Cisco Talos tiene una alta probabilidad de que el actor en este caso sea un residente ruso que ha estado llevando a cabo ataques basados en Sarwent desde al menos enero de 2021, cubriendo una amplia gama de perfiles de víctimas”, dijo la compañía.
La firma de seguridad cree que Sarwent se remonta a 2014, bastante antiguo para los estándares de malware.
El uso de dominios falsos y descargas troyanizadas para propagar malware es casi tan antiguo como el propio malware. Los códigos de activación de software falsos son un eterno favorito, y las APT patrocinadas por el Estado han utilizado señuelos GDPR con diversos grados de éxito en los últimos cuatro o cinco años.
A una escala mucho mayor, los archivos publicados por WikiLeaks en 2017 parecían mostrar que la CIA había escrito un código para hacerse pasar por Kaspersky Labs con el fin de facilitar el desvío de datos confidenciales de sus objetivos.
Se contactó con Amnistía Internacional para recabar sus comentarios. La organización ha hablado sobre el suministro de malware y herramientas de hacking por parte de NSO Group a gobiernos cuestionables, al igual que organizaciones centradas en la tecnología como Citizen Lab de Canadá y Privacy International del Reino Unido.
2024 ya lleva aquí un tiempo, y no es un año más: es un nuevo capítulo para empaparte de sabiduría, subir de nivel y ampliar tus conocimientos sobre Stealth Phones.
¿Crees que el WiFi es seguro? ¿Conoce los peligros y las posibilidades de espionaje del WiFi? Si no es así, ahora es el momento de descubrirlo. Leer más
Sabemos que quieres deshacerte de las aplicaciones de Google en tu smartphone Android. Pero, ¿realmente puedes eliminarlas? ¿Y sirve realmente a tu privacidad y seguridad? Creemos que no. Más información