Armia i Służby
Program do ochrony przed Pegasusem okazał się nośnikiem wirusa
Rosyjskojęzyczny podmiot rozpowszechnia w sieci oprogramowanie antywirusowe, które rzekomo ma chronić urządzenia przed narzędziem do inwigilacji „Pegasus”. W rzeczywistości jednak jest wirusem służącym do przejmowania kontroli nad sprzętem i kradzieży danych. Kampania trwa od co najmniej początku roku.
Jak informowaliśmy na łamach naszego portalu, Amnesty International w ostatnim czasie ujawniła skalę wykorzystania Pegasusa do inwigilowania dziennikarzy i aktywistów z całego świata.
Teraz cyberprzestępcy starają się wykorzystać rozpoznawalność grupy i posłużyć jej odkryciem do rozpowszechniania złośliwego oprogramowania.
Doskonała kopia?
W tym celu stworzyli fikcyjną stronę internetową, która wyglądem w największych szczegółach przypominała oryginalną witrynę Amnesty International. Znajduje się na niej oferta oprogramowania antywirusowego „Amnesty Anti Pegasus”, rzekomo przeznaczonego do ochrony urządzeń przez Pegasusem.
W rzeczywistości pobranie pliku prowadzi do instalacji wirusa o nazwie Sarwent – ostrzegają specjaliści firmy Talos.
Kradzież danych
Wspomniane złośliwe oprogramowanie to typowe narzędzie do pozyskania zdalnego dostępu, służące jako backdoor na zainfekowanym sprzęcie.
Zdaniem ekspertów, wirus może być zainstalowany na wielu urządzeniach, biorąc pod uwagę rozgłos ostatniego raportu Amnesty International dotyczącego inwigilacji.
Wirus nie jest standardowym narzędziem do kradzieży informacji, który po uruchomieniu wykrada dane uwierzytelniające. W tym przypadku Sarwent swoim wyglądem przypomina zwykły program antywirusowy. W rzeczywistości jednak gwarantuje cyberprzestępcom możliwość przesyłania i uruchamiania wszelkich innych złośliwych plików, a także kradzieży wszelkiego rodzaju danych z urządzenia ofiary.
Rosyjskojęzyczny podmiot
Działania cyberprzestępców wymierzone są przede wszystkim w osoby, które obawiają się, że mogą być inwigilowane za pomocą Pegasusa. Silne ukierunkowanie na konkretną grupę celów sugeruje, że w operację może być zaangażowany aktor państwowy.
Eksperci Talos nie mają jednak wystarczających informacji, aby jednoznacznie ocenić, który kraj stoi za wrogimi działaniami. Udało im się jednak ustalić, że sprawcą jest rosyjskojęzyczny podmiot, a kampania trwa co najmniej od stycznia 2021 roku.
Chcemy być także bliżej Państwa – czytelników. Dlatego, jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected]. Przyszłość przynosi zmiany. Wprowadzamy je pod hasłem #CyberIsFuture.
Haertle: Każdego da się zhakować
Materiał sponsorowany