首页保安国际特赦组织伪造的 Pegasus 扫描仪感染 Windows 设备

国际特赦组织伪造的 Pegasus 扫描仪感染 Windows 设备

国际特赦组织最近发布了一个 Pegasus 间谍软件扫描程序,它似乎已被恶意代理利用来安装一个鲜为人知的远程访问工具,称为 萨温特.

飞马

另见: Pegasus 间谍软件再次来袭:更新 iPhone、Mac、Apple Watch!

该恶意软件出现并作为合法防病毒解决方案的一部分,专门用于扫描和删除 Pegasus 跟踪系统。

至少从今年年初开始,基于 Sarwent 的攻击就一直在进行,并且针对许多国家的各种受害者资料。

目前尚不清楚之前活动中使用的诱饵,但 Cisco Talos 的研究人员 他们发现了 最近一个新的 攻击 Sarwent 是通过一个虚假的国际特赦组织网站提供的,该网站宣传 Anti-Pegasus AV。

黑客试图通过创建一个方便的图形用户界面使恶意软件看起来像一个合法的防病毒软件。

选择这种伪装表明诈骗者正试图诱骗用户保护他们的设备免受 Pegasus 间谍软件的侵害。

目前尚不清楚诈骗者如何吸引访问者访问国际特赦组织的虚假网站,但对该活动的域名进行了分析。”显示首字母 domain 可以访问整个世界”,虽然没有迹象表明会有大规模的运动。

另见: LockBit 勒索软件:使用组策略加密 Windows 域

根据 数据 从调查期间处于活动状态的 Sarwent 命令和控制服务器 (C2) 的控制面板中,恶意软件主要到达了英国的用户。

国际特赦组织

调查人员认为袭击者来自俄罗斯。 他们还发现了自 2014 年以来使用的类似后端,表明该恶意软件比我们最初认为的要古老得多,或者其他人之前在使用它。

Sarwent 是用 Delphi 编写的,并不常见。 它具有通常显示在远程访问工具 (RAT) 中的功能,使操作员可以访问受感染的机器。

允许通过激活远程桌面协议 (RDP) 或通过系统直接访问计算机 虚拟网络计算 (VNC)。 但是,通过 PowerShell 的强大功能,还有其他方法。

Cisco Talos 研究人员认为,将 Sarwent 变成防病毒解决方案的图形用户界面表明其背后的恶意代理可以访问恶意软件的源代码。

另见: 发现恶意软件可以在M1芯片上本地运行

除了制作大赦国际的 Pegasus 扫描仪的伪造副本外,Sarwent 操作员还使用以下域来冒充该组织:

amnestyinternationalantipegasus [.] com

amnestyvspegasus [.] com

antipegasusamnesty [.] com

根据收集到的数据,研究人员无法对 Sarwent 的威胁因素进行分类。 乍一看,他似乎是一个只为了轻松赚钱的人。 然而,一些调查结果似乎表明,他的目标并不是那么多钱,主要是由于受害者人数少和竞选活动的调整程度。

没有米娅https://www.secnews.gr
在一个不断尝试改变你的世界里,做你自己,是你最大的成就
spot_img

实时新闻