اسکنر جعلی Pegasus به دنبال آلوده کردن سیستم های ویندوز

بر اساس گزارش‌های اخیر، عاملان تهدید به دنبال سود بردن از آخرین افشاگری سازمان عفو بین‌الملل درباره جاسوس‌افزار Pegasus هستند و در این حمله از ابزار دسترسی از راه دوری به نام Sarwent استفاده می‌شود که چندان شناخته شده نیست. این بدافزار که با هدف شناسایی ابزار‌های Pegasus و در قالب بخشی از یک آنتی ویروس معتبر عمل می‌کند، اولین حمله خود را در ماه ژانویه سال جاری آغاز کرده و تاکنون توانسته دسته‌ عظیمی از قربانیان را در چندین کشور مختلف مورد هدف قرار دهد.

روش این بدافزار، تبلیغ یک نرم‌افزار شناساگر Pegasus از طریق سایت تقلبی سازمان عفو بین‌الملل است. آنها با استفاده از طراحی منحصر به فرد رابط کاربری، کاربر را قانع می‌کنند که این بدافزار یک ضدویروس کاملاً مفید و کاربردی است. این امر نشان می‌دهد که مهاجمان به دنبال کاربرانی هستند که نگران حملات جاسوسی Pegasus هستند. به وضوح مشخص نیست که مهاجمان چگونه کاربران را به سمت این سایت تقلبی هدایت می‌کنند، اما تحلیل‌ها بر روی دامنه‌ها حاکی از آن است که دامنه اولیه این سایت تقلبی به صورت جهانی در دسترس هستند، اما نشان دهنده وجود یک کمپین بزرگ نیست.

تحلیل حجم دامنه‌های C2 (فرماندهی و کنترل) نشان می‌دهد که توزیع مویرگی این بدافزار در سطح جهانی با حجمی حتی پایین‌تر از میزان بیان شده در جریان است. بر اساس داده‌های به دست آمده از سرور C2 این بدافزار، بیشتر کاربران هدف در کشور انگلستان هستند. محققان با اطمینان از یک فرد روسی زبان به عنوان عامل پشت پرده این بدافزار صحبت می‌کنند و همچنین معتقدند که عمر این بدافزار بسیار بیشتر از میزان تخمین‌زده بوده و می‌توان گفت که قبلاً به وسیله گروه‌های دیگر نیز به کار گرفته شده است.

عملکرد این بدافزار شبیه به ابزار‌های کنترل از راه دور (RAT) است که اجازه دسترسی کامل به مهاجم را می‌دهد.این دسترسی از طریق پروتکل RDP و یا VNC می‌باشد، اما می‌تواند از PowerShell نیز برای ورود به سیستم استفاده کند.

عاملان این حملات همچنان ناشناخته باقی مانده‌اند و به نظر می‌رسد که انگیزه آنها از این حملات، مالی نبوده که این موضوع از آمار پایین قربانیان این حملات نشات می‌گیرد. به نظر می‌رسد که آنها به دنبال فریبکاری و تشویش اذهان محققان سایبری هستند تا نیات شوم خود را پیاده‌سازی کنند.