Neue Malware gibt vor, Schutz vor Spyware Pegasus zu bieten
5. Oktober 2021, 14:07
Hacker geben sich als Amnesty International aus und nutzen Ängste rund um die Spionage-Software.
Seit ein Journalistenkonsortium im Juli 2021 massive Vorwürfe gegen den israelischen Überwachungssoftware-Anbieter NSO und seine Spyware Pegasus veröffentlicht hatte, beschäftigt das Thema Öffentlichkeit und Politik. So musste in der Schweiz auch VBS-Vorsteherin Viola Amherd Stellung nehmen, hielt sich aber sehr bedeckt bei der Frage, ob Pegasus oder ein ähnliches Produkt vom Bund eingesetzt wird.
Aus der Schweiz, von der Genfer Firma Digi DNA, stammt auch das Tool iMazing, das dazu dient, iPhones nach der Spyware zu durchforsten. Ein seriöses Angebot – ganz im Gegensatz zum Tool "Amnesty Anti Pegasus". Dahinter verbirgt sich seinerseits eine Malware, die sich auf betroffenen Geräten installiert.
Laut Sicherheitsforschern von Cisco Talos wird die Malware über eine gefälschte Website verbreitet, die sich als Amnesty International ausgibt. Dort wird für den Download von "Amnesty Anti Pegasus" geworben. Der Download installiert jedoch keinen Schutz vor Pegasus, sondern den Sarwent Remote Access Trojaner. Dieser installiert bei der Ausführung eine Hintertür und kann auch ein Remote-Desktop-Protokoll nutzen, um eine Verbindung zu einem von Angreifern kontrollierten Command-and-Control-Server herzustellen. Sarwent in der aktuellen Delphi-Version sei "noch nicht sehr oft in freier Wildbahn gesehen worden", so die Forscher.
"Wir haben jedoch noch keine bösartige Werbung oder Phishing-Kampagne gesehen, um die Fälschung zu fördern, und wir haben derzeit keine Informationen darüber, wie der Akteur beabsichtigt, Opfer auf die betrügerische Website zu locken, die er zur Verbreitung der Malware verwendet", heisst es weiter im Bericht von Cisco Talos.
Die Security-Experten gehen davon aus, dass es sich in diesem Fall um einen in Russland ansässigen Akteur handle, "der seit mindestens Januar 2021 Sarwent-basierte Angriffe durchführt, die eine Vielzahl von Opferprofilen abdecken". Bis jetzt seien die Domains amnestyinternationalantipegasus[.]com, amnestyvspegasus[.]com und antipegasusamnesty[.]com verwendet worden, um Opfer zum Download der Malware zu verleiten.
Loading
Google will ChatGPT-Konkurrenz öffentlich zugänglich machen
OpenAI hat mit Microsoft den Kampf um die Zukunft des Internets eröffnet, nun zieht Google nach. Das bedeutet ein Umdenken im Suchmaschinenkonzern.
APIs bei Twitter werden kostenpflichtig
Schon in weniger als einer Woche werden Entwicklerinnen und Entwickler zur Kasse gebeten. Ein Preismodell gibts noch nicht.
Cyberangriff auf die Uni Zürich
Die Angreifer scheinen äusserst professionell vorzugehen, erklärt die Zürcher Hochschule. Noch gebe es keine Hinweise, dass Daten verschlüsselt oder abgegriffen worden sind.
Podcast: Was hinter dem Zürcher Datenskandal steckt
In dieser Podcast-Episode arbeiten wir den Zürcher Datenskandal auf. Wie konnte es dazu kommen, was ist genau geschehen und was muss passieren, damit das nie mehr passiert?