Gli attacchi prendono di mira le persone che temono la sorveglianza del software Pegasus di NSO Group.
I criminali informatici stanno distribuendo il Trojan Sarwent attraverso un falso sito web camuffato da sito web dell’organizzazione per i diritti umani Amnesty International. Ai visitatori del sito viene offerta una protezione contro lo spyware mobile Pegasus.
I ricercatori di sicurezza informatica di Cisco Talos affermano che gli attacchi prendono di mira le persone che temono di essere monitorate dal software Pegasus di NSO Group.
Descritto originariamente nel 2016, Pegasus è uno strumento di sorveglianza software che è stato utilizzato da regimi repressivi in campagne contro giornalisti, difensori dei diritti umani e altri.
Dopo il rapporto dettagliato di Amnesty International su Pegasus, pubblicato nel luglio di quest’anno, e il rilascio da parte di Apple di correzioni per la vulnerabilità zero-click di FORCEDENTRY, molte persone hanno iniziato a cercare protezione da spyware e gli aggressori hanno deciso di trarne vantaggio.
Il sito web fasullo offre lo strumento antivirus Amnesty Anti Pegasus, che presumibilmente può proteggere dallo spyware Pegasus di NSO Group. Tuttavia, agli utenti viene fornito il Trojan Sarwent Remote Access, che consente agli aggressori di scaricare ed eseguire facilmente payload su dispositivi compromessi e rubare dati.
Secondo Cisco Talos, gli aggressori in questo caso sono criminali di lingua russa che vivono in Russia e conducono attacchi basati su Sarwent almeno dal gennaio 2021. Le campagne precedenti avevano come target utenti in Colombia, India, Stati Uniti e Germania.
Gli aggressori avrebbero utilizzato malware Sarwent o altro malware con un’infrastruttura simile dal 2014. Sarwent potrebbe essere stato precedentemente utilizzato da altri criminali. Il malware Sarwent nella sua attuale versione Delphi non è molto comune negli attacchi del mondo reale. Dispone di diversi strumenti per eseguire attività remote, tra cui Remote Desktop Protocol (RDP) e Virtual Network Computing (VNC), e dispone di funzionalità di script di shell e PowerShell.
Una volta lanciato, il malware contatta il sito Web di medicalsystemworld [.]. Se il malware ha bisogno di un aggiornamento, può scaricare un’altra copia di se stesso.
Il malware si connetterà quindi a un server C&C situato nello stesso dominio. Durante la prima sessione di comunicazione, il malware estrae alcune informazioni sulla vittima, tra cui la versione del sistema operativo, se è installato un software antivirus e informazioni sull’architettura del sistema. Gli aggressori possono quindi inviare comandi tramite la riga di comando o PowerShell o accedere al desktop in remoto tramite VNC o RDP.
Gli utenti di tutto il mondo, inclusi Stati Uniti, Gran Bretagna, Colombia, Repubblica Ceca, India, Romania, Russia e Ucraina, sono diventati vittime della campagna malevola.
