Neue Malware gibt vor, Schutz vor Spyware Pegasus zu bieten
5. Oktober 2021, 14:07
Hacker geben sich als Amnesty International aus und nutzen Ängste rund um die Spionage-Software.
Seit ein Journalistenkonsortium im Juli 2021 massive Vorwürfe gegen den israelischen Überwachungssoftware-Anbieter NSO und seine Spyware Pegasus veröffentlicht hatte, beschäftigt das Thema Öffentlichkeit und Politik. So musste in der Schweiz auch VBS-Vorsteherin Viola Amherd Stellung nehmen, hielt sich aber sehr bedeckt bei der Frage, ob Pegasus oder ein ähnliches Produkt vom Bund eingesetzt wird.
Aus der Schweiz, von der Genfer Firma Digi DNA, stammt auch das Tool iMazing, das dazu dient, iPhones nach der Spyware zu durchforsten. Ein seriöses Angebot – ganz im Gegensatz zum Tool "Amnesty Anti Pegasus". Dahinter verbirgt sich seinerseits eine Malware, die sich auf betroffenen Geräten installiert.
Laut Sicherheitsforschern von Cisco Talos wird die Malware über eine gefälschte Website verbreitet, die sich als Amnesty International ausgibt. Dort wird für den Download von "Amnesty Anti Pegasus" geworben. Der Download installiert jedoch keinen Schutz vor Pegasus, sondern den Sarwent Remote Access Trojaner. Dieser installiert bei der Ausführung eine Hintertür und kann auch ein Remote-Desktop-Protokoll nutzen, um eine Verbindung zu einem von Angreifern kontrollierten Command-and-Control-Server herzustellen. Sarwent in der aktuellen Delphi-Version sei "noch nicht sehr oft in freier Wildbahn gesehen worden", so die Forscher.
"Wir haben jedoch noch keine bösartige Werbung oder Phishing-Kampagne gesehen, um die Fälschung zu fördern, und wir haben derzeit keine Informationen darüber, wie der Akteur beabsichtigt, Opfer auf die betrügerische Website zu locken, die er zur Verbreitung der Malware verwendet", heisst es weiter im Bericht von Cisco Talos.
Die Security-Experten gehen davon aus, dass es sich in diesem Fall um einen in Russland ansässigen Akteur handle, "der seit mindestens Januar 2021 Sarwent-basierte Angriffe durchführt, die eine Vielzahl von Opferprofilen abdecken". Bis jetzt seien die Domains amnestyinternationalantipegasus[.]com, amnestyvspegasus[.]com und antipegasusamnesty[.]com verwendet worden, um Opfer zum Download der Malware zu verleiten.
Loading
Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes
Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.
Cyberattacken abwehren bis zum Burnout
Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.
Cisco bestätigt Cyberangriff
Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.
Branchen-Grössen schaffen gemeinsamen Standard für Security-Lösungen
AWS, Splunk und weitere grosse Anbieter von Security-Software kooperieren, um die Integration von Lösungen zu vereinfachen und Datensilos aufzubrechen.