Uwaga na fałszywy antywirus Amnesty International dla oprogramowania Pegasus
Sprawdź darmową edukację z cyberbezpieczeństwa ↓
Tagi:  darknethakerhakingcyberatak

Uwaga na fałszywy antywirus Amnesty International dla oprogramowania Pegasus

Oprogramowanie rzekomo ma zabezpieczyć przed oprogramowaniem do inwigilacji Pegasus, firmy NSO Group.

Kolejny dowód na to, że grupy hackerskie szybko wykorzystują wydarzenia na świecie i budują swoje kampanie, tak aby uzyskać maksymalne efekty. Odkryto, iż aktorzy podszywają się pod Amnesty International, aby rozpowszechniać złośliwe oprogramowanie. Oprogramowanie rzekomo ma zabezpieczać przed oprogramowaniem do inwigilacji Pegasus, firmy NSO Group. 

“Hakerzy stworzyli fałszywą stronę internetową, która wygląda jak strona Amnesty International. Organizacji pozarządowej zajmującej się prawami człowieka. Na stronie znajduje się narzędzie antywirusowe chroniące przed oprogramowaniem Pegasus firmy NSO Group” – stwierdzili badacze z Cisco Talos. “Jednak w rzeczywistości pobrany plik instaluje mało znane złośliwe oprogramowanie Sarwent”.

Zasięg kampanii

Kraje najbardziej dotknięte kampanią to Wielka Brytania, Stany Zjednoczone, Rosja, Indie, Ukraina, Czechy, Rumunia i Kolumbia. Chociaż nie jest jasne, w jaki sposób ofiary są wabione do odwiedzenia fałszywej strony Amnesty International. Firma zajmująca się bezpieczeństwem cybernetycznym przypuszcza, że ataki mogą być skierowane do użytkowników, którzy szczególnie poszukują ochrony przed tym zagrożeniem.
Rozwój sytuacji następuje po wybuchowym śledztwie z lipca 2021 r. W śledztwie ujawniono powszechne nadużywanie “wojskowego oprogramowania szpiegowskiego” Pegasus. Celem ułatwienia łamania praw człowieka poprzez inwigilację głów państw, aktywistów, dziennikarzy i prawników na całym świecie. Od tego czasu Amnesty International wydała również zestaw Mobile Verification Toolkit (MVT). Kolekcja stosowana jest do skanowania urządzeń indywidualnych osób w poszukiwaniu dowodów kompromitacji.

Schemat działań

Oprócz wykorzystania sztuczek socjotechnicznych poprzez zaprojektowanie nieuczciwej strony internetowej o wyglądzie i działaniu identycznym z legalnym portalem Amnesty International modus operandi ma na celu nakłonienie odwiedzającego do pobrania “oprogramowania Amnesty Anti Pegasus” pod przykrywką narzędzia antywirusowego, które posiada funkcje umożliwiające złemu aktorowi znalezienie zdalnej drogi do zaatakowanego komputera i wydobycie poufnych informacji, takich jak dane logowania. 

Próbka Sarwent wykorzystana w kampanii o niewielkim zasięgu jest wysoce dostosowanym wariantem zakodowanym w Delphi. Umożliwia zdalny dostęp do pulpitu poprzez VNC lub RDP. Pozwala również na wykonywanie poleceń w terminalu lub instrukcji PowerShell otrzymanych z domeny kontrolowanej przez atakującego. 

Talos z dużym prawdopodobieństwem przypisał infekcje rosyjskojęzycznemu podmiotowi zlokalizowanemu w tym kraju. Podmiot ten znany jest z ataków z wykorzystaniem backdoora Sarwent od co najmniej stycznia 2021 r., obejmujących różne ofiary, odnotowując poziom modyfikacji rzekomego antywirusa jako prawdopodobny dowód na to, że “operator ma dostęp do kodu źródłowego złośliwego oprogramowania Sarwent”. 

“Kampania jest skierowana do osób, które mogą obawiać się, że są celem oprogramowania szpiegowskiego Pegasus” – stwierdzili badacze. “To ukierunkowanie podnosi kwestie możliwego zaangażowania państwa, ale nie ma wystarczających informacji […], aby dokonać jakichkolwiek ustaleń na temat tego, które państwo lub naród. Możliwe, że jest to po prostu motywowany finansowo aktor, który chce wykorzystać nagłówki gazet, aby uzyskać nowe dostępy.” 

Jak zawsze, użytkownicy powinni pozostawać czujni oraz unikać pobierania i instalowania programów pochodzących z nieznanych źródeł. Zachęcamy do zapoznania się i stosowania dobrych rad, które z pewnością nie raz się wam przydadzą podczas surfowania po Internecie. 

Źródło: https://thehackernews.com/2021/10/beware-of-fake-amnesty-international.html
Marketing Manager
Autor artykułu
Marketing Manager
Oceń blog:
Czas czytania: 5 min
Data: 04.10.2021

Terminarz

prev

next

Lista najbliższych webinariów

24.11.2026
09:00 Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
Autoryzowane szkolenie dotyczące konfiguracji i administracji rozwiązaniami WatchGuard
20.10.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Polskie szpitale vs ransomware - co się stało w marcu 2026? Zabezpieczenia Sieci

Polskie szpitale vs ransomware - co się stało w marcu 2026?

Czytaj więcej
Chcesz kupić DDoS-a jak gumę kulkę w sklepiku? CBZC rozbiło grupę siedmiu dzieciaków w wieku 12-16 lat.

Chcesz kupić DDoS-a jak gumę kulkę w sklepiku? CBZC rozbiło grupę siedmiu dzieciaków w wieku 12-16 lat.

Czytaj więcej
Kradzież danych firmowych pod płaszczykiem fałszywych rozszerzeń AI w Chrome Microsoft

Kradzież danych firmowych pod płaszczykiem fałszywych rozszerzeń AI w Chrome

Czytaj więcej
Hakowanie kont PS5, Xbox i Nintendo Switch- jak chronić swoje skiny?

Hakowanie kont PS5, Xbox i Nintendo Switch- jak chronić swoje skiny?

Czytaj więcej
Czym jest Ransomeware as a Service?

Czym jest Ransomeware as a Service?

Czytaj więcej