Киберпреступники распространяют троян Sarwent через поддельный web-сайт, замаскированный под сайт правозащитной организации Amnesty International. Посетителям сайта якобы предлагается защита от мобильного шпионского ПО Pegasus. Об этом сообщает SecurityLab.
По словам исследователей в области кибербезопасности из Cisco Talos, атаки нацелены на людей, опасающихся слежки со стороны ПО Pegasus от NSO Group.
После подробного отчета Amnesty International о Pegasus, опубликованного в июле нынешнего года, и выпуска Apple исправлений для уязвимости zero-click уязвимости FORCEDENTRY, многие люди начали искать защиту от шпионского ПО, и злоумышленники решили этим воспользоваться.
Поддельный web-сайт предлагает антивирусный инструмент Amnesty Anti Pegasus, который якобы может защитить от шпионского ПО Pegasus от NSO Group. Однако вместо него пользователям предоставляется троян для удаленного доступа Sarwent, позволяющий злоумышленникам легко загружать и выполнять полезные нагрузки на скомпрометированных устройствах, а также похищать данные.
Как полагают в Cisco Talos, злоумышленниками в данном случае являются русскоговорящие преступники, проживающие в России и проводящие атаки на основе Sarwent как минимум с января 2021 года.
Жертвами хакеров стали пользователи по всему миру, в том числе в США, Великобритании, Колумбии, Чехии, Индии, Румынии, России и Украине.
Контекст
- Летом этого года Центр по исследованию коррупции и организованной преступности (OCCRP) вместе с 16-ю мировыми медиа начали публиковать проект о программном обеспечении Pegasus, с помощью которого в десятке стран мира предположительно велась слежка за телефонами журналистов, активистов и политиков. В списке предполагаемых пользователей ПО оказался и Казахстан.
- Позже Factcheck.kz предложил инструкцию для пользователей, желающих узнать, подвергался ли их смартфон атаке Pegasus
