Sicherheitsforscher:innen von der Cisco Thalos Intelligence Group haben am 30. September eine Warnung herausgebracht, nach der eine noch unbekannter Threat Actor gefälschte Amnesty-Webseiten betreibt, um aus der Unsicherheit rund um die Enthüllungen über die Pegasus-Überwachsungssoftware Kapital zu schlagen oder weitere Geräte zu infizieren.
Auf diesen Webseiten, deren Domainnamen Kombinationen von Amnesty und Pegasus enthält und deren Design dem von Amnesty nachgeahmt ist, wird ein angebliches Anti-Pegasus-Tool zum Herunterladen angeboten. Hinter dem angeblichen Anti-Virus-Programm versteckt sich jedoch eine Windows-Malware, ein Remote-Access-Tool (RAT) oder Trojaner namens Sarwent, mit dem Angreifer Zugriff auf infizierte Geräte erhalten können.
NOCHMAL: AUF KEINEN FALL AUF IRGENDEINER SEITE EIN ANGEBLICHES ANTI-PEGASUS-TOOL HERUNTERLADEN! ES HANDELT SICH HIERBEI UM EIN VIRUS/TROJANER!
Zum jetzigen Zeitpunkt existiert nach unserem Wissenstand kein Tool, das eine Pegasus-Infektion beseitigt! Es besteht lediglich die Möglichkeit mittels einer Untersuchung der Backup-Daten von Android- oder iOS-Geräten mittels des von AmnestyTech veröffentlichten Mobile Verification Toolkit (MVT) Hinweise auf eine Infizierung zu finden, was jedoch technisch anspruchsvoll ist.
Wie kann ich mich schützen? Auf was muss ich achten?
- Achtet bei Amnesty-Inhalten immer darauf, dass diese von einer offiziellen Amnesty-Webseite (amnesty.de, amnesty.org, KoGruppen-Seiten, etc.) oder im Intranet
Interner Bereich für Mitglieder von Amnesty International über die Internetseite intranet.amnesty.de. verlinkt werden, besonders wenn es um Downloads geht. - Kontrolliert die richtige Schreibweise der Adresse der Website: Hier sind oft Zeichen verdreht, oder ein weiteres Zeichen dabei “amnestye.de” oder “anmesty.de”. Die Unterschiede sind klein, machen aber einen großen Unterschied. Eine Ausnahme hiervon ist die DomainEinfach gesagt die Internetadresse einer Homepage. amsty.de für Amnestys Kurzlink-Dienst.
- Klickt nicht Fake-Links, sondern versucht in diesem Fall, Amnesty auf alternativen Wegen zu erreichen, zum Beispiel über das Welcome-Center.
- Wer ungefragt via E-Mail oder anderen Nachrichten auf Signal, WhatsApp und Co. im Namen von Amnesty kontaktiert wird: Bitte genau die Links und die aufgerufenen Seiten anschauen.
Generell gilt:
- Auf Amnesty-Webseiten werden i.d.R. keine ausführbaren Programme als Download angeboten.
- Falls es in der Zukunft eine einfache, benutzerfreundliche Möglichkeit zum Aufspüren und/oder Entfernen von Pegasus-Infektionen geben sollte, werden wir auf offiziellen Amnesty-Webseiten darüber berichten.
- Die offizielle Seite von AmnestyTech lautet: https://www.amnesty.org/en/tech/
Was tun, wenn ich bereits das angebliche Anti-Pegasus-Tool heruntergeladen und ausgeführt habe:
- Dein Gerät ist nun vermutlich mit dem Trojaner infiziert.
- Wir empfehlen, mindestens einen Antivirenscan durchzuführen. Ausreichende Sicherheit kann man aber i.d.R. nur durch eine Neuinstallation des Systems erlangen.
- Meldet uns außerdem bitte die Webseite, unter der euch der Download angeboten wurde unter support@fk-internet.de