È in corso una campagna malevola per la distribuzione di un finto antivirus rilasciato da Amnesty International che promette di rimuovere dai nostri dispositivi il famigerato spyware Pegasus usato in tempi recenti per spiare giornalisti, attivisti e capi di Stato: l’escamotage serve per nascondere il malware Sarwent, un tool di accesso remoto in grado di infettare le macchine Windows ed esfiltrare informazioni sensibili come le credenziali di accesso al sistema o ai servizi online.
Gli attori della minaccia hanno quindi trovato il modo di capitalizzare il recente scandalo sulle intercettazioni di massa per sferrare il loro nuovo attacco e ottenere il massimo impatto possibile.
È bene ricordare che Amnesty International ha già rilasciato il tool ufficiale Mobile Verification Toolkit (MVT) per aiutare chi fosse interessato a scansionare i propri dispositivi iPhone e Android alla ricerca di prove di compromissione da parte di Pegasus: è ipotizzabile, quindi, che gli attacchi siano indirizzati proprio verso quegli utenti che potrebbero essere preoccupate di essere prese di mira dallo spyware, sfruttando l’emotività e la paura di essere spiati per creare confusione tra il tool ufficiale e il finto antivirus.
Il targeting della campagna malevola lascia quindi aperta l’ipotesi di un coinvolgimento di un attore state sponsored, ma ovviamente non si può escludere una semplice motivazione finanziaria dietro l’attacco.
Pegasus è massacro dei diritti: ecco perché è urgente regolare i software spia
Indice degli argomenti
Il finto antivirus di Amnesty International
Secondo quanto hanno scoperto i ricercatori di Cisco Talos, i criminal hacker hanno creato un sito web fasullo che riproduce fedelmente quello ufficiale di Amnesty International (famosa organizzazione non governativa che si occupa della difesa dei diritti umani) per diffondere Anti-Pegasus AV, uno strumento di sicurezza che si spaccia come soluzione per individuare e rimuovere il tool di spionaggio progettato dalla israeliana NSO Group.
Scaricando e installando il tool, la vittima si ritrova davanti un’interfaccia grafica molto curata che ricorda effettivamente quella degli antivirus, con tanto di logo di Amnesty International e menu con gli strumenti di scansione e pulizia del sistema.
Ovviamente, nessuno di questi strumenti funziona realmente ma servono esclusivamente a nascondere le attività di esfiltrazione dati del malware Sarwent.
In particolare, da alcuni campioni di codice malevolo isolati durante la campagna di diffusione, i ricercatori hanno verificato che Sarwent è codificato in Delphi ed è dotato di funzionalità che consentono di accedere al sistema infetto mediante VNC (Virtual Network Computing) o RDP (Remote Desktop Protocol). Una volta in esecuzione, è quindi in grado di eseguire istruzioni da riga di comando o PowerShell ricevute da un dominio controllato dall’attore della minaccia: tali istruzioni consentono di esfiltrare dati dal sistema della vittima oppure di eseguire altro codice dannoso.
Al momento non è ancora chiaro come gli attori della minaccia riescano ad attirare le vittime sul falso sito web di Amnesty International, probabilmente mediante tecniche di ingegneria sociale o campagne di phishing via e-mail o sui social network.
Quel che è certo è che i domini utilizzati per la diffusione del malware sono accessibili da tutto il mondo, Italia compresa, anche al momento non vi è alcuna indicazione sul fatto che si tratti di una campagna su larga scala.
Sicuramente, sulla base dei dati estratti dal pannello di amministrazione di un server di comando e controllo di Sarwent a cui i ricercatori di Cisco Talos sono riusciti, il paese maggiormente preso di mira dal malware sembra essere il Regno Unito, ma l’infezione si sta lentamente allargando a tutto il mondo.
Come mitigare il rischio
Oltre a creare la falsa copia del sito di Amnesty International, l’attore della minaccia ha registrato anche i seguenti domini:
- amnestyinternationalantipegasus[.]com
- amnestyvspegasus[.]com
- antipegasusamnesty[.]com
che è bene aggiungere nelle regole di controllo dei propri sistemi di sicurezza che, lo ricordiamo, devono essere tenuti costantemente aggiornati.
Inoltre, vale sempre la regola di non scaricare o installare software da fonti non attendibili e di non cliccare su link o aprire allegati di e-mail di dubbia provenienza.