Lažni anti-špijunski skener Amnesty Internationala inficira Windows računare opasnim malverom

Vesti, 01.10.2021, 09:30 AM

Lažni anti-špijunski skener Amnesty Internationala inficira Windows računare opasnim malverom

Ciscovi istraživači upozorili su na hakere koji se predstavljaju kao Amnesty International da bi prevarili ljude da preuzmu zlonamerni softver. Oni su registrovali više domena koristeći varijacije naziva poznate svetske organizacije za zaštitu ljudskih prava kako bi reklamirali softver “Amnesty Anti Pegasus”, koji navodno može da skenira uređaje i detektuje špijunski softver izraelske firme NSO Group.

Prevaranti pokušavaju da iskoriste nedavna otkrića Amnesty Internationala o špijunskom softveru Pegaz kako bi inficirali uređaje žrtava manje poznatim alatom za daljinski pristup koji se zove Sarvent koji napadačima obezbeđuje zadnja vrata na računarima žrtava. Hakeri mogu koristiti taj pristup za preuzimanje i pokretanje drugih malvera, kao i za eksfiltraciju podataka poput lozinki.

Napadači očigledno koriste sve veću zabrinutost zbog špijunskog softvera. Zagovornici ljudskih prava dugo kritikuju NSO zbog toga što vlade koriste tehnologiju kompanije za špijuniranje aktivista, disidenata i novinara. Opsežan julski izveštaj Amnesty Internationala otkrio je da je špijunski softver koristio ranjivost u prethodnoj verziji iOS-a za špijuniranje na desetine žrtava.

Zlonamerni softver predstavljen kao skener izgleda kao legitimno antivirusno rešenje specijalno napravljeno za skeniranje sistema i pronalaženje Pegaza i njegovo uklanjanje.

Napadi u kojima se koristi Sarvent izvode se od početka godine, a ciljevi su različiti profili žrtava u nekoliko zemalja.

Ne zna se šta se ranije koristilo kao mamac, ali su istraživači u Cisco Talosu nedavno primetili nove napade u kojima je Sarvent isporučivan putem lažnog veb sajta Amnesty Internationala koji reklamira Anti-Pegasus AV.

Hakeri su se potrudili da malver izgleda kao legitiman antivirus kreiranjem odgovarajućeg korisničkog interfejsa. Odabir ove maske ukazuje na to da hakeri pokušavaju da prevare ljude koji su zabrinuti da su njihovi uređaji možda inficirani Pegazom.

Nije jasno kako se posetioci dovode na lažni veb sajt Amnesty Internationala, ali analiza domena u ovoj kampanji pokazuje da se domenima pristupa širom sveta, iako nema naznaka da je reč o kampanji velikih razmera.

Istraživači sa prilično sigurni da napadač govori ruski jezik. Takođe su pronašli dokaze koji ukazuju na to da je malver stariji nego što se prvobitno mislilo ili da ga je ranije koristio neko drugi.

Na osnovu prikupljenih dokaza, istraživači ne mogu da procene sa sigurnošću motive napadača ali na prvi pogled, izgleda da su hakeri iskoristili veliku novinsku priču da bi zaradili. Međutim, može biti i da napadačima zarada nije motiv, a ono što podržava ovu teoriju je mali broj žrtava i nivo prilagođavanja napada.

Ovo nije prvi put da hakeri koriste priču o Pegazu. Pre nešto više od mesec dana pojavili su se e-mailovi kojima je neko pokušavao da ubedi ljude da su “kolateralna žrtva” Pegaza koji ih je navodno snimao tokom “najprivatnijih trenutaka”. Ucenjivač je pretio da će, ukoliko žrtva ne plati 0,035 bitkoina (oko 1600 dolara u to vreme), snimci biti poslati porodici, prijateljima i poslovnim saradnicima žrtve, ali i da će biti objavljeni na sajtovima “za perverznjake koji vole takav sadržaj”.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Mozilla upozorila na dodatke za Firefox koji sprečavaju pregledač da preuzme sigurnosna ažuriranja

Mozilla upozorila na dodatke za Firefox koji sprečavaju pregledač da preuzme sigurnosna ažuriranja

Mozilla je u ponedeljak objavila da je blokirala dva zlonamerna dodatka za Firefox koje je instaliralo 455.000 korisnika a za koje je utvrđeno da zlo... Dalje

Sajber kriminalci imaju novu taktiku - evo kako i zašto preko lažnih firmi zapošljavaju stručnjake za bezbednost

Sajber kriminalci imaju novu taktiku - evo kako i zašto preko lažnih firmi zapošljavaju stručnjake za bezbednost

Kriminalna grupa FIN7 otvorila je firmu koju koristi za angažovanje stručnjaka za sajber bezbednost, koji na prevaru sajber-kriminalcima zapravo pom... Dalje

Podaci miliona korisnika Instagrama i TikToka bili javno dostupni više od mesec dana

Podaci miliona korisnika Instagrama i TikToka bili javno dostupni više od mesec dana

Zbog nezaštićenog ElasticSearch servera koji pripada analitičkom sajtu IGBlade.com podaci preuzeti sa najmanje 2,6 miliona profila korisnika društ... Dalje

Jutjuberi čuvajte se prevaranata koji nude saradnju

Jutjuberi čuvajte se prevaranata koji nude saradnju

Prevaranti nude kreatorima sadržaja na YouTubeu saradnju da bi im pomoću malvera koji kradu lozinke ukrali naloge, objavila je Googleova grupa za an... Dalje

Istraživanje: U poslednjih pet godina hakeri promenili način rada i ciljeve

Istraživanje: U poslednjih pet godina hakeri promenili način rada i ciljeve

Kompanija Kaspersky objavila je istraživanje o aktivnostima ruskih sajber-kriminalaca i kako su se njihov način rada i ciljevi promenili u poslednji... Dalje