Gauner gegen Gauner: Gefälschter Spyware-Code überflutet das Dark Web

Foto: ivector – shutterstock.com

Die indische Cybersecurity-Firma CloudSEK hat im Rahmen monatelanger Recherchen in Dark-Web-Quellen festgestellt, dass Bedrohungsakteure den Namen Pegasus systematisch für finanzielle Zwecke auszunutzen versuchen. Diese Enthüllung kommt nur wenige Wochen, nachdem Apple Nutzer in 92 Ländern vor einem Angriff durch “Söldner-Spyware” gewarnt hat.

In einem Bericht beschreibt CloudSEK, wie Bedrohungsakteure Plattformen wie Telegram mit Posts bombardieren, in denen sie behaupten, echten Pegasus-Quellcode zu verkaufen. “Im Laufe der Jahre haben CloudSEK-Forscher zahlreiche Vorfälle in Dark- und Deep-Web-Quellen analysiert und untersucht, um einen Einblick in die globale Bedrohungslandschaft zu erhalten”, erklärt CloudSEK.

“Wir stießen dabei häufig auf Erwähnungen von Pegasus und der NSO Group und beobachteten verschiedene Aktivitäten rund um sie. Nach Apples jüngstem Hinweis auf Bedrohungsbenachrichtungen haben unsere Forscher mit der Arbeit an diesem Artikel begonnen, um verschiedene Vorfälle im Zusammenhang mit diesen Unternehmen zu untersuchen”, schreibt Anuj Sharma, Sicherheitsforscher bei CloudSEK.

Gefälschter Code, überhöhte Preise

Die Forscher von CloudSEK analysierten dazu nach eigenen Angaben etwa 25.000 Posts auf Telegram, von denen viele behaupteten, authentischen Pegasus-Code zu verkaufen. Diese Posts folgten oft einer gemeinsamen Vorlage, in der illegale Dienste angeboten wurden, wobei häufig Pegasus und NSO-Tools erwähnt wurden.

CloudSEK ging aber noch einen Schritt weiter und sprach mit etlichen Anbietern. Durch die Interaktion mit über 150 potenziellen Verkäufern gewann CloudSEK Einblicke in verschiedene Muster und Indikatoren, die von diesen Akteuren geteilt wurden. “Dazu gehörten angeblicher Pegasus-Quellcode, Live-Demonstrationen, Dateistrukturen und Snapshots”, heißt es in dem Bericht. Die Security-Forscher identifizierten auch sechs Fälle von gefälschten Pegasus HVNC (Hidden Virtual Network Computing) Samples, die zwischen Mai 2022 und Januar 2024 im Dark Web verbreitet wurden.

Auf allgemein zugänglichen Code-Sharing-Plattformen im Surface Web entdeckte CloudSEK ähnliche Fälle, in denen Betrüger ihre eigenen, zufällig generierten Quellcodes verbreiteten und sie fälschlicherweise mit der Pegasus-Spyware in Verbindung brachten.

“Nach der Analyse von 15 Samples und über 30 Indikatoren aus Human Intelligence (HUMINT), Deep- und Dark-Web-Quellen stellte CloudSEK fest, dass fast alle Samples betrügerisch und unwirksam waren”, fasst das Cybersecurity-Unternehmen das Ergebnis seiner Untersuchung zusammen: “Bedrohungsakteure haben ihre eigenen Tools und Skripte entwickelt und sie unter dem Namen von Pegasus verbreitet, um aus dessen Bekanntheit finanziellen Nutzen zu ziehen.”

Der erhoffte Profit kann sich sehen lassen. So gab eine Gruppe namens Deanon ClubV7 am 5. April bekannt, sie habe sich rechtmäßig Zugang zu Pegasus verschafft und bot für eine Gebühr von 1,5 Millionen Dollar einen dauerhaften Zugang an, berichtet CloudSEK. “Die Gruppe behauptete stolz, die erste zu sein, die sich den Zugang zu Pegasus gesichert haben, und schaffte es, innerhalb von nur zwei Tagen vier Zugänge zu verkaufen, die insgesamt sechs Millionen Dollar einbrachten. Interessanterweise teilte die Gruppe intern dieselbe offizielle Mitteilung, die von Apple veröffentlicht wurde, und war stolz darauf.”

Kampf gegen den Pegasus-Betrug

CloudSEK weist darauf hin, dass die Sensibilisierung der Mitarbeiter der Schlüssel zur Vermeidung des Pegasus-Betrugs ist. “Stellen Sie sicher, dass sich alle Beschäftigten der Risiken bewusst sind, die mit dem Herunterladen von Software aus dem Dark Web und von IRC-Plattformen verbunden sind, insbesondere von Tools, die fälschlicherweise als Pegasus bezeichnet werden”, so Sharma. “Informieren Sie regelmäßig über die neuesten Betrugstaktiken und -trends im Zusammenhang mit Pegasus und ähnlichen hochkarätigen Namen.

Außerdem empfiehlt der Security-Experte, das Netzwerk nach ungewöhnlichen Aktivitäten zu scannen, die darauf hindeuten könnten, dass Beschäftigte auf das Dark Web oder IRC-Plattformen zugreifen. “Führen Sie strenge Zugangskontrollen ein, um die Möglichkeiten der Beschäftigten zu begrenzen und zu überwachen, potenziell gefährliche Websites zu besuchen oder nicht autorisierte Software herunterzuladen”, so Sharma weiter. (mb)

Dieser Artikel basiert auf einem Beitrag der US-Schwesterpublikation CSO.