Мошенники спекулируют на решении Apple, которое привело к массовым заражениям iPhone.
ИБ-компания CloudSEK — это индийская компания, которая специализируется на кибербезопасности и риск-анализе. Она была основана в 2015 году и предоставляет свои услуги в области мониторинга утечек данных, анализа уязвимостей, поиска угроз и расследования инцидентов в режиме реального времени.<br /> Компания использует машинное обучение и искусственный интеллект для анализа данных из открытых и закрытых источников, чтобы обнаруживать угрозы и снижать риски для своих клиентов" data-html="true" data-original-title="CloudSEK" >CloudSEK предупреждает о мошенниках, которые продают поддельное ПО, рекламируемое как Pegasus — это вредоносное программное обеспечение, разработанное израильской компанией NSO Group. Данное ПО может тайно устанавливаться на мобильные телефоны (и другие устройства), работающие на большинстве версий iOS и Android. Pegasus является модульным вредоносным ПО. После сканирования устройства цели, оно устанавливает необходимые модули для чтения сообщений и почты пользователя, прослушивания звонков, захвата скриншотов, регистрации нажатых клавиш, извлечения истории браузера, контактов и так далее. В целом, оно может шпионить за каждым аспектом жизни жертвы." data-html="true" data-original-title="Pegasus" >Pegasus от NSO Group — это израильская компания, специализирующаяся на разработке и продаже программного обеспечения для целевого наблюдения и взлома мобильных устройств. Компания создала такие продукты, как Pegasus, который позволяет пользователям получать удалённый доступ к сообщениям, фотографиям, контактам и другим данным, хранящимся на мобильном устройстве. <br> <br> NSO Group утверждает, что её продукты предназначены только для борьбы с криминалом и терроризмом, но она также была критикована за продажу своего ПО правительствам, которые злоупотребляют возможностями софта, чтобы подавлять оппозицию и нарушать права человека. Pegasus уже использовался в ряде шпионских кампаний, включая шпионаж за журналистами, диссидентами и политиками." data-html="true" data-original-title="NSO Group" >NSO Group.
Поддельная программа была обнаружена после анализа около 25 000 сообщений людей, предлагающих Pegasus и другие инструменты NSO Group в Telegram. Затем специалисты взаимодействовали с более чем 150 потенциальными продавцами, которые предоставили доступ к 15 образцам и более 30 индикаторам компрометации (Indicators of Compromise, IoC (Indicator of Compromise) — это признак компрометации в кибербезопасности. Это может быть файл, сетевой адрес, реестр Windows или другой объект, который может быть использован для обнаружения или подтверждения наличия киберугрозы в ИТ-системе." data-html="true" data-original-title="IoC" >IoC)
Индикаторы компрометации включали исходный код предполагаемых образцов Pegasus, демонстрации работы образцов в реальном времени и структуру файлов. Почти все образцы были мошенническими и неэффективными, но некоторые продавались за сотни тысяч долларов. Один из продавцов предложил постоянный доступ к Pegasus за $1,5 миллиона и заявил, что совершил 4 продажи за 2 дня.
Поддельное шпионское ПО также было найдено на других платформах для обмена кодами, где, по утверждениям CloudSEK, злоумышленники распространяли свои собственные случайно сгенерированные исходные коды.
Пример одного из файла для скачивания якобы исходного кода Pegasus
CloudSEK начала исследование продаж Pegasus после того, как Apple в апреле решила прекратить приписывать атаки с использованием шпионского ПО конкретному источнику, и вместо этого стала классифицировать их как mercenary spyware attack («шпионская атака наёмников»). Заявление корпорации совпало с уведомлениями о дистанционном взломе iPhone в 92 странах.
CloudSEK была не единственной организацией, которая действовала после изменения политики Apple. Исследователи компании обнаружили, что мошенники, продающие поддельный «постоянный доступ» к Pegasus, внутри радовались и приветствовали уведомление Apple.
CloudSEK отмечает, что продавцы мошеннического кода получают не только выгоду от известного бренда, рекламируя продукт как принадлежащий NSO Group, но это также помогает им оставаться вне поля зрения, продавая специально разработанное шпионское ПО под именем другой компании.
На данный момент NSO Group не предоставила комментариев по поводу подделок и их воздействия на бизнес компании.
Pegasus — это продвинутое шпионское программное обеспечение, которое израильская компания NSO Group продает правительствам мира. Программа предназначена для использования в уголовных преследованиях и разведке, но часто применяется против активистов, политиков и журналистов.
