Neue Malware gibt vor, Schutz vor Spyware Pegasus zu bieten

5. Oktober 2021, 14:07
  • security
  • datenschutz
  • cybercrime
  • international
  • cisco
image

Hacker geben sich als Amnesty International aus und nutzen Ängste rund um die Spionage-Software.

Seit ein Journalistenkonsortium im Juli 2021 massive Vorwürfe gegen den israelischen Überwachungssoftware-Anbieter NSO und seine Spyware Pegasus veröffentlicht hatte, beschäftigt das Thema Öffentlichkeit und Politik. So musste in der Schweiz auch VBS-Vorsteherin Viola Amherd Stellung nehmen, hielt sich aber sehr bedeckt bei der Frage, ob Pegasus oder ein ähnliches Produkt vom Bund eingesetzt wird.
Aus der Schweiz, von der Genfer Firma Digi DNA, stammt auch das Tool iMazing, das dazu dient, iPhones nach der Spyware zu durchforsten. Ein seriöses Angebot – ganz im Gegensatz zum Tool "Amnesty Anti Pegasus". Dahinter verbirgt sich seinerseits eine Malware, die sich auf betroffenen Geräten installiert.
Laut Sicherheitsforschern von Cisco Talos wird die Malware über eine gefälschte Website verbreitet, die sich als Amnesty International ausgibt. Dort wird für den Download von "Amnesty Anti Pegasus" geworben. Der Download installiert jedoch keinen Schutz vor Pegasus, sondern den Sarwent Remote Access Trojaner. Dieser installiert bei der Ausführung eine Hintertür und kann auch ein Remote-Desktop-Protokoll nutzen, um eine Verbindung zu einem von Angreifern kontrollierten Command-and-Control-Server herzustellen. Sarwent in der aktuellen Delphi-Version sei "noch nicht sehr oft in freier Wildbahn gesehen worden", so die Forscher.
"Wir haben jedoch noch keine bösartige Werbung oder Phishing-Kampagne gesehen, um die Fälschung zu fördern, und wir haben derzeit keine Informationen darüber, wie der Akteur beabsichtigt, Opfer auf die betrügerische Website zu locken, die er zur Verbreitung der Malware verwendet", heisst es weiter im Bericht von Cisco Talos.
Die Security-Experten gehen davon aus, dass es sich in diesem Fall um einen in Russland ansässigen Akteur handle, "der seit mindestens Januar 2021 Sarwent-basierte Angriffe durchführt, die eine Vielzahl von Opferprofilen abdecken". Bis jetzt seien die Domains amnestyinternationalantipegasus[.]com, amnestyvspegasus[.]com und antipegasusamnesty[.]com verwendet worden, um Opfer zum Download der Malware zu verleiten. 

Loading

Mehr zum Thema

image

Edöb besetzt weitere Stellen wegen der Revision des Datenschutzgesetzes

Derzeit sucht der Datenschutzbeauftragte einen Informatiker für die Leitung von Kontrollen. Im Rahmen des neuen DSG wurden 8 Vollzeitstellen gesprochen.

publiziert am 12.8.2022
image

Cyberattacken abwehren bis zum Burnout

Laut einer aktuellen Umfrage leidet fast die Hälfte aller Incident-Responder unter extremem Stress oder sogar Burnouts.

publiziert am 11.8.2022
image

Cisco bestätigt Cyberangriff

Der Angriff fand bereits im Mai statt, die Cyberkriminellen haben jetzt angeblich erbeutete Daten veröffentlicht. Cisco schildert den Ablauf detailliert.

publiziert am 11.8.2022
image

Branchen-Grössen schaffen gemeinsamen Standard für Security-Lösungen

AWS, Splunk und weitere grosse Anbieter von Security-Software kooperieren, um die Integration von Lösungen zu vereinfachen und Datensilos aufzubrechen.

publiziert am 11.8.2022