Los actores de amenazas están explotando la reputación y la marca de la organización de derechos humanos Amnistía Internacional para atacar a sus víctimas con malware disfrazado de remedio anti-spyware.
El poco conocido malware troyano de acceso remoto Sarwent (Rat) se está utilizando contra personas a las que les preocupa que puedan convertirse en objetivos de Pegasus, una aplicación de software espía supuestamente legítima desarrollada por la empresa cibernética israelí NSO Group.
Pegasus ha estado en el centro de la controversia mundial en los últimos meses después de que extensas investigaciones descubrieron que los clientes gubernamentales de NSO lo estaban utilizando para atacar a activistas, disidentes, periodistas y políticos. También se ha relacionado con el asesinato del periodista Jamal Khashoggi por las autoridades saudíes.
Ahora, los investigadores de Cisco Talos, Vitor Ventura y Arnaud Zobec, dicen que los actores de amenazas detrás de Sarwent se están aprovechando de la situación para comprometer a sus víctimas.
En este ataque, los objetivos son dirigidos a un enlace a una herramienta antivirus desde un sitio web disfrazado de Amnistía Internacional, que desempeñó un papel clave en la reciente investigación sobre Pegasus, que descarga Sarwent en sus dispositivos.
El Rat sirve principalmente como puerta trasera y también tiene la capacidad de acceder al protocolo de escritorio remoto (RDP) en la máquina de la víctima, lo que permite que quien esté detrás de él acceda directamente al escritorio, en caso de que comprometa una PC o computadora portátil. Permite a los atacantes cargar y ejecutar herramientas maliciosas adicionales y también puede exfiltrar datos.
“Creemos que esta campaña tiene el potencial de infectar a muchos usuarios dada la reciente atención al software espía Pegasus”, dijeron Ventura y Zobec en un blog de divulgación.
“Además del informe de Amnistía Internacional, Apple también tuvo que lanzar recientemente una actualización de seguridad para iOS que corrigió una vulnerabilidad que los atacantes estaban aprovechando para instalar Pegasus. Muchos usuarios pueden estar buscando protección contra esta amenaza en este momento “.
Ventura y Zobec creen que la campaña en sí se origina en Rusia con un alto grado de confianza, pero el análisis de los dominios involucrados parece sugerir que la campaña no está muy extendida, por lo que existe cierta duda sobre la motivación detrás de ella.
“La campaña está dirigida a personas que podrían estar preocupadas de que sean el objetivo del software espía Pegasus”, dijeron. “Esta focalización plantea problemas de posible participación estatal, pero no hay suficiente información disponible para Talos para tomar una determinación sobre qué estado o nación. Es posible que este sea simplemente un actor motivado financieramente que busca aprovechar los titulares para obtener un nuevo acceso “.
Independientemente del grupo que esté detrás de esta campaña, claramente está aprovechando con éxito los eventos actuales como señuelo, una táctica común, como lo ha demostrado la pandemia de Covid-19. Se recomienda a los equipos de seguridad y administradores que intenten mantenerse al tanto del ciclo de noticias para advertir a los usuarios sobre tales señuelos.
“Pegasus continúa entrometiéndose en la vida de las personas y atacando dispositivos en lo que parece un juego interminable del gato y el ratón”, dijo Jake Moore de ESET.
“Dirigirse al miedo de las personas en el software espía es una táctica utilizada por los actores de amenazas para perseguir a los que están en mayor riesgo, pero de hecho, es apuntar inteligentemente a sus presas.
“A menudo puede ser muy difícil detectar si una página web es realmente rápida o no, pero las personas siempre deben permanecer en guardia y llevar a cabo la debida diligencia antes de que sea demasiado tarde. Las personas siempre deben tener cuidado con cualquier software y realizar investigaciones siempre que sea posible. También es importante evitar descargar e instalar software de fuentes desconocidas en línea “.