image

Nepsite Amnesty verspreidt malware vermomd als Pegasus-scanner

donderdag 30 september 2021, 16:35 door Redactie, 3 reacties

Onderzoekers hebben een zogenaamde website van Amnesty International ontdekt die "AntiPegasus software" aanbiedt, wat in werkelijkheid malware is. Onlangs kwam Amnesty in het nieuws met een onderzoek naar de Pegasus-spyware die bij aanvallen tegen journalisten, politici en activisten is ingezet. De aanvallers achter de nu ontdekte nepsite liften mee op deze aandacht en de angst voor de Pegasus-spyware, meldt Cisco in een blogposting.

Op de nepsite wordt geclaimd dat gebruikers via de "AntiPegasus software" hun systeem op de aanwezigheid van de spyware kunnen controleren. In werkelijkheid gaat het om een remote access tool (RAT) genaamd Sarwent waarmee aanvallers op afstand volledige controle over het systeem hebben. Eenmaal actief verzamelt de malware informatie over het systeem. Vervolgens kan de aanvaller via de command line en PowerShell commando's versturen of het systeem op afstand via VNC of RDP benaderen.

Image

Reacties (3)
30-09-2021, 18:35 door Anoniem
Als je de URL bekijkt zou je als leek inderdaad kunnen denken dat het een site van Amnesty betreft.

Dat is helaas een stuk gewenning geworden, heel veel organisaties registeren voor elk wisse-wasje een nieuwe domeinnaam, in plaats van dat ze gewoon site.nl/actie of actie.site.nl gebruiken.

Benieuwd waarom Amnesty dit overigens niet zelf heeft opgemerkt, want met http://crt.sh kun je op zich vrij eenvoudig je naam in de gaten houden.
30-09-2021, 19:43 door Anoniem
Wow - toch wel onder de indruk van de social engineering van de bad guys.
Dit is wel veel nivo's hoger dan "free nekkid pictures" en "widow from Nigerian dictator"
30-09-2021, 23:41 door Anoniem
Ben ik met reactant van 19:43 volledig eens.

Wat als "deep fake"en zo ook een rol begint te spelen.
Men moet opschieten met iedere wereldburger eenduidig te merken,
anders is de strijd tegen cybercrime niet meer te winnen.

Het is een eindeloos verhaal aan het worden -> Cross-Site Scripting attack

from htxps://www.whatismyip.com to htxps://ads.pubmatic.com met bijbehorend script..

Goed dat NoScript het signaleert en blokkeert.

#sockpuppet
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.