Πρόσφατα η Διεθνής Αμνηστία κυκλοφόρησε έναν σαρωτή του spyware Pegasus, τον οποίο φαίνεται ότι έχουν εκμεταλλευτεί κακόβουλοι παράγοντες για να εγκαταστήσουν ένα λιγότερο γνωστό εργαλείο απομακρυσμένης πρόσβασης, που ονομάζεται Sarwent.
Δείτε επίσης: Το Pegasus spyware ξαναχτυπά: Ενημερώστε iPhone, Mac, Apple Watch!
Το κακόβουλο λογισμικό φαίνεται και ενεργεί ως μέρος μιας νόμιμης λύσης προστασίας από ιούς, που έχει δημιουργηθεί ειδικά για να σαρώσει το σύστημα για ίχνη του Pegasus και να τα αφαιρεί.
Οι επιθέσεις που βασίζονται στο Sarwent πραγματοποιούνται τουλάχιστον από την αρχή του έτους και στόχευσαν μια ποικιλία προφίλ θυμάτων σε πολλές χώρες.
Το δέλεαρ που χρησιμοποιήθηκε σε προηγούμενες εκστρατείες δεν είναι προς το παρόν σαφές, αλλά οι ερευνητές στο Cisco Talos εντόπισαν πρόσφατα μια νέα επίθεση όπου το Sarwent παραδόθηκε μέσω πλαστής ιστοσελίδας της Διεθνούς Αμνηστίας, που διαφημίζει το Anti-Pegasus AV.
Ο hacker έκανε μια προσπάθεια να κάνει το κακόβουλο λογισμικό να μοιάζει με ένα νόμιμο antivirus, δημιουργώντας μια κατάλληλη γραφική διεπαφή χρήστη.
Η επιλογή αυτής της μεταμφίεσης υποδηλώνει ότι ο απατεώνας προσπαθεί να ξεγελάσει τους χρήστες που θέλουν να προστατεύσουν τις συσκευές τους από το spyware Pegasus.
Δεν είναι σαφές πώς ο απατεώνας προσελκύει επισκέπτες στον πλαστό ιστότοπο της Διεθνούς Αμνηστίας, αλλά μια ανάλυση των domain αυτής της καμπάνιας «δείχνει ότι τα αρχικά domain έχουν πρόσβαση σε όλο τον κόσμο», αν και δεν υπάρχει ένδειξη εκστρατείας μεγάλης κλίμακας.
Δείτε ακόμα: LockBit ransomware: Κρυπτογραφεί Windows domains χρησιμοποιώντας group policies
Με βάση τα δεδομένα από τον πίνακα διαχείρισης ενός διακομιστή εντολών και ελέγχου Sarwent (C2) που ήταν ενεργός κατά τη διάρκεια της έρευνας, το κακόβουλο λογισμικό προσέγγισε κυρίως χρήστες στο Ηνωμένο Βασίλειο.
Οι ερευνητές εκτιμούν ότι ο εισβολέας προέρχεται από τη Ρωσία. Βρήκαν επίσης ένα παρόμοιο backend που χρησιμοποιείται από το 2014, υποδηλώνοντας είτε ότι το κακόβουλο λογισμικό είναι πολύ παλαιότερο από ό, τι πιστεύαμε αρχικά είτε ότι κάποιος άλλος το χρησιμοποιούσε πριν.
Το Sarwent είναι γραμμένο σε Delphi και δεν συναντάται συχνά. Διαθέτει λειτουργίες που εμφανίζονται συνήθως σε ένα εργαλείο απομακρυσμένης πρόσβασης (RAT), παρέχοντας στον χειριστή πρόσβαση στο μολυσμένο μηχάνημα.
Επιτρέπει την άμεση πρόσβαση στο μηχάνημα, ενεργοποιώντας το πρωτόκολλο απομακρυσμένης επιφάνειας εργασίας (RDP) ή μέσω του συστήματος Virtual Network Computing (VNC). Ωστόσο, υπάρχουν κι άλλες μέθοδοι μέσω των δυνατοτήτων εκτέλεσης του PowerShell.
Οι ερευνητές της Cisco Talos πιστεύουν ότι η γραφική διεπαφή χρήστη που μετατρέπει τον Sarwent σε λύση προστασίας από ιούς, υποδεικνύει ότι ο κακόβουλος παράγοντας πίσω από αυτόν, έχει πρόσβαση στον πηγαίο κώδικα του κακόβουλου λογισμικού.
Δείτε επίσης: Ανακαλύφθηκε κακόβουλο λογισμικό που τρέχει εγγενώς στο τσιπ M1
Εκτός από τη δημιουργία πλαστών αντιγράφων για τον σαρωτή Pegasus της Διεθνούς Αμνηστίας, ο χειριστής του Sarwent χρησιμοποίησε επίσης τα ακόλουθα domain για να υποδυθεί τον οργανισμό:
amnestyinternationalantipegasus [.] com
amnestyvspegasus [.] com
antipegasusamnesty [.] com
Με βάση τα στοιχεία που συγκεντρώθηκαν, οι ερευνητές δεν είναι σε θέση να κατηγοριοποιήσουν τον παράγοντα απειλής του Sarwent. Σε πρώτη φάση, φαίνεται ότι είναι κάποιος που απλά αναζητά εύκολα χρήματα. Ωστόσο, μερικά από τα ευρήματα φαίνεται να υποδηλώνουν ότι στόχος του δεν είναι τόσο τα χρήματα, κυρίως λόγω του χαμηλού αριθμού θυμάτων και του επιπέδου προσαρμογής της καμπάνιας.
