Pemindai Palsu Pegasus Digunakan untuk Menginfeksi Windows

Pemindai Palsu Pegasus Digunakan untuk Menginfeksi Windows

Internet Sehat : Pelaku ancaman mencoba memanfaatkan pengungkapan baru-baru ini tentang spyware Pegasus dari Amnesty International untuk memasukkan alat akses jarak jauh yang kurang dikenal bernama Sarwent. Malware tersebut terlihat dan bertindak sebagai bagian dari solusi antivirus yang sah yang dibuat khusus untuk memindai sistem dari jejak Pegasus dan menghapusnya.

Serangan berbasis Sarwent telah berjalan setidaknya sejak awal tahun 2021 dan menargetkan berbagai profil korban di beberapa negara. Iming-iming yang digunakan dalam kampanye masa lalu tidak jelas saat ini, tetapi para peneliti di Cisco Talos melihat serangan baru baru-baru ini di mana Sarwent dikirim melalui situs web Amnesty International palsu yang mengiklankan Anti-Pegasus AV.

Pelaku ancaman berusaha membuat malware terlihat seperti antivirus yang sah dengan membuat antarmuka pengguna grafis yang sesuai. Dengan melakukan penyamaran ini menunjukkan bahwa pelaku mencoba menipu pengguna yang khawatir tentang spyware Pegasus yang menginfeksi perangkat mereka.

Tidak jelas bagaimana aktor tersebut memikat pengunjung ke situs palsu Amnesty International, tetapi analisis domain dalam kampanye ini menunjukkan bahwa domain awal sedang diakses di seluruh dunia, meskipun tidak ada indikasi kampanye skala besar.

Berdasarkan data dari panel administrasi server perintah dan kontrol (C2) Sarwent yang aktif selama penyelidikan, malware tersebut menjangkau sebagian besar pengguna di Inggris.

Para peneliti menilai dengan keyakinan tinggi bahwa individu yang berbahasa Rusia bertanggung jawab atas serangan Sarwent baru-baru ini. Mereka juga menemukan backend serupa yang digunakan sejak 2014, menunjukkan bahwa malware tersebut jauh lebih tua dari yang diperkirakan sebelumnya atau bahwa aktor yang berbeda menggunakannya sebelumnya.

Peneliti Cisco Talos percaya bahwa antarmuka pengguna grafis yang menyamarkan Sarwent menjadi solusi antivirus menunjukkan bahwa aktor ancaman di belakangnya memiliki akses ke kode sumber malware. Selain membuat salinan palsu untuk situs web Amnesty International, operator Sarwent juga mendaftarkan domain berikut untuk meniru identitas organisasi, yaitu amnestyinternationalantipegasus[.]com, amnestyvspegasus[.]com, dan antipegasusamnesty[.]com.

Sumber : Bleeping Computer

Share

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.