0
0
Cibercriminosos criaram um site falso similar ao da ONG de defesa dos direitos humanos que oferece ferramenta antivírus gratuita para instalar malware
Em mais uma mostra de como os grupos de hackers são rápidos em capitalizar sobre eventos mundiais e adequar suas campanhas de ataque para o máximo impacto, foram descobertos operadores de ameaças se fazendo passar pela Anistia Internacional para distribuir malware. A nova tática empregada pelos hackers é a disponibilidade de um software de segurança supostamente projetado para proteger contra o software de espionagem Pegasus da empresa israelense NSO Group.
“Os cibercriminosos criaram um site falso similar ao da Anistia Internacional que disponibiliza uma ferramenta antivírus gratuitamente para proteger contra o software Pegasus”, dizem os pesquisadores da Cisco Talos. “No entanto, o download do programa instala o malware Sarwent, ainda pouco conhecido.”
Os países mais afetados pela campanha incluem Reino Unido, EUA, Rússia, Índia, Ucrânia, República Tcheca, Romênia e Colômbia. Embora não esteja claro como as vítimas são induzidas a visitar o site falso da Anistia Internacional, a empresa de segurança cibernética supõe que os ataques podem ser direcionados a usuários que estejam especificamente em busca de proteção contra o Pegasus.
A campanha maliciosa vem na esteira de uma investigação ocorrida em julho, que revelou o abuso generalizado do “spyware de âmbito militar” da empresa israelense para facilitar as violações dos direitos humanos ao vigiar chefes de estado, ativistas, jornalistas e advogados em todo o mundo. Desde então, a ONG também lançou um Mobile Verification Toolkit (MVT) para ajudar as pessoas a escanear seus smartphones em busca de evidências de comprometimento.
Além de fazer uso de truques de engenharia social ao criar um site com aparência idêntica ao portal legítimo da Anistia Internacional, o modus operandi visa induzir o visitante a baixar o “software Anistia Anti Pegasus” sob o disfarce de uma ferramenta antivírus que oferece recursos para permitir que o cibercriminoso encontre um caminho remoto para a máquina comprometida e exfiltrar informações confidenciais, como credenciais de login.
A amostra do Sarwent usada na campanha de baixo volume é uma variante altamente personalizada, codificada em Delphi, capaz de permitir o acesso remoto à área de trabalho por meio de redes virtuais (VNCs) ou remote desktop protocol (RDP) e executar instruções de linha de comando ou PowerShell recebidas de um domínio controlado pelo invasor, cujos resultados são enviados de volta ao servidor.
A Cisco Talos atribui as infecções a um operador da ameaça de língua russa, localizado naquele país e conhecido por montar ataques envolvendo a porta dos fundos (backdoor) do Sarwent desde pelo menos janeiro.”A campanha tem como alvo pessoas que podem estar preocupadas por serem alvos do spyware Pegasus”, disseram os pesquisadores. “Essa segmentação levanta questões de possível envolvimento de um Estado-nação, mas não há informações suficientes […] para fazer qualquer afirmação. É possível que este seja simplesmente um operador motivado financeiramente.”
FONTE: CISO ADVISOR