Amnesty International exploitée dans une campagne de logiciels malveillants

Les auteurs de menaces exploitent la réputation et l’image de marque de l’organisation de défense des droits humains Amnesty International pour cibler ses victimes avec des logiciels malveillants déguisés en remède anti-spyware.

Le malware peu connu Sarwent remote access trojan (Rat) est utilisé contre des personnes qui craignent de devenir la cible de Pegasus, une application de logiciel espion prétendument légitime développée par la cyber-société israélienne NSO Group.

Pegasus a été au centre d’une controverse mondiale ces derniers mois après que des enquêtes approfondies ont révélé que les clients gouvernementaux de NSO l’utilisaient pour cibler des militants, des dissidents, des journalistes et des politiciens. Il a également été lié au meurtre du journaliste Jamal Khashoggi par les autorités saoudiennes.

Aujourd’hui, les chercheurs de Cisco Talos, Vitor Ventura et Arnaud Zobec, affirment que les acteurs de la menace derrière Sarwent profitent de la situation pour compromettre leurs victimes.

Dans cette attaque, les cibles sont dirigées vers un lien vers un outil antivirus à partir d’un site Web se faisant passer pour celui d’Amnesty International – qui a joué un rôle clé dans la récente enquête sur Pegasus – qui télécharge Sarwent sur leurs appareils.

Le Rat sert principalement de porte dérobée et a également la capacité d’accéder au protocole RDP (Remote Desktop Protocol) sur la machine d’une victime, permettant à quiconque se trouve derrière elle d’accéder directement au bureau, s’il compromet un PC ou un ordinateur portable. Il permet aux attaquants de télécharger et d’exécuter des outils malveillants supplémentaires et peut également exfiltrer des données.

« Nous pensons que cette campagne a le potentiel d’infecter de nombreux utilisateurs étant donné les récents coups de projecteur sur le logiciel espion Pegasus », ont déclaré Ventura et Zobec dans un blog de divulgation.

« En plus du rapport d’Amnesty International, Apple a également dû publier récemment une mise à jour de sécurité pour iOS qui corrigeait une vulnérabilité que les attaquants exploitaient pour installer Pegasus. De nombreux utilisateurs sont peut-être à la recherche d’une protection contre cette menace en ce moment.

Ventura et Zobec pensent que la campagne elle-même provient de Russie avec un haut degré de confiance, mais l’analyse des domaines impliqués semble suggérer que la campagne n’est pas répandue, de sorte qu’il y a un certain doute sur la motivation qui la sous-tend.

« La campagne cible les personnes qui pourraient craindre d’être ciblées par le logiciel espion Pegasus », ont-ils déclaré. « Ce ciblage soulève des questions d’implication possible de l’État, mais Talos ne dispose pas suffisamment d’informations pour déterminer quel État ou quelle nation. Il est possible qu’il s’agit simplement d’un acteur motivé financièrement qui cherche à tirer parti des gros titres pour obtenir un nouvel accès.

Quel que soit le groupe à l’origine de cette campagne, il est clair qu’il tire parti avec succès des événements actuels comme un leurre – une tactique courante, comme l’a démontré la pandémie de Covid-19. Les équipes de sécurité et les administrateurs sont mieux avisés d’essayer de se tenir au courant du cycle des nouvelles afin d’avertir les utilisateurs de ces leurres.

« Pegasus continue de s’immiscer dans la vie des gens et d’attaquer les appareils dans ce qui semble être un jeu sans fin du chat et de la souris », a déclaré Jake Moore d’ESET.

« Cibler la peur des gens dans le logiciel espion est une tactique utilisée par les acteurs de la menace pour s’en prendre aux personnes les plus à risque – mais en fait, il s’agit de cibler intelligemment leurs proies.

« Il peut souvent être très difficile de déterminer rapidement si une page Web est réelle ou non, mais les gens doivent toujours rester sur leurs gardes et faire preuve de diligence raisonnable avant qu’il ne soit trop tard. Les gens doivent toujours se méfier de tout logiciel et effectuer des recherches dans la mesure du possible. Il est également important d’éviter de télécharger et d’installer des logiciels à partir de sources inconnues en ligne.