گزارش CloudSEK حاکی از افزایش جاسوس‌افزار جعلی Pegasus پس از اعلان‌های تهدید از سوی اپل است

CloudSEK، یک شرکت امنیت سایبری، پس از ارسال اعلان‌های تهدید توسط اپل به کاربران آیفون در 92 کشور در ماه گذشته، تحقیقاتی را انجام داد و متوجه شد که مدت کوتاهی پس از انتشار این توصیه، وب عمیق و تاریک شاهد افزایش جاسوس‌افزارهای جعلی Pegasus بود. شایان ذکر است که اپل به هیچ عامل تهدیدی مرتبط با هشدار خود اشاره نکرده است، اما به عنوان مثال به نرم افزار جاسوسی Pegasus از گروه NSO اشاره کرده است. CloudSEK معتقد است که این می تواند منجر به فروش بدافزارهای کلاهبردار توسط کلاهبرداران به عنوان کد منبع Pegasus شود.

جزئیات تحقیقات CloudSEK

به دنبال هشدار اپل در ماه آوریل، محققان CloudSEK شروع به جستجو در وب عمیق و تاریک و همچنین وب سطحی کردند تا ببینند آیا نرم افزار جاسوسی اصلی Pegasus برای خرید در دسترس است یا کلاهبرداران از نام آن برای فریب خریداران احتمالی استفاده می کنند. در گزارشی با عنوان «پشت مشاوره: رمزگشایی هشدارهای اپل و معضل جاسوس‌افزار»، این شرکت امنیت سایبری اعلام کرد که از پلتفرم‌های چت اینترنتی (IRC) استفاده می‌کند. پس از تجزیه و تحلیل نزدیک به 25000 پست در تلگرام، محققان دریافتند که بخش قابل توجهی از پست ها ادعا می کنند کد منبع اصلی Pegasus را می فروشند.

تحقیقات CloudSEK در تلگرام
منبع تصویر: CloudSEK

این پست های هشدار فروش نیز از همین الگو پیروی کردند. از کلماتی مانند NSO Tools و Pegasus برای جلب نظر خریداران استفاده شد. این گزارش با تعامل با بیش از 150 فروشنده بالقوه جاسوس‌افزار Pegasus، دریافت که نمونه‌ها شامل کد منبع، نمایش ویدئویی زنده استفاده از بدافزار و اسکرین‌شات‌هایی از کد منبع هستند. همه اینها با نام هایی که به پگاسوس اشاره داشتند انجام می شد.

محققان همچنین شش نمونه منحصر به فرد به نام Pegasus HNVC (محاسبات مجازی سازی شبکه پنهان) را پیدا کردند که بین ماه مه 2022 تا ژانویه 2024 در وب عمیق منتشر شد که نشان دهنده گسترش این نمونه ها در بین عوامل تهدید است. موارد مشابه نیز در وب سطح یافت می شود.

نتایج CloudSEK

گروه امنیت سایبری در نهایت 15 نمونه و بیش از 30 شاخص را از منابع مختلف به دست آورد. با این حال، مشخص شد که «تقریباً همه آنها ابزارها و اسکریپت‌های تقلبی و ناکارآمد خود را ایجاد می‌کردند و سعی می‌کردند آنها را تحت نام Pegasus توزیع کنند تا از نام Pegasus و نام گروه NSO برای سود مالی قابل توجه استفاده کنند.»

اعتقاد بر این است که گروه‌هایی از بازیگران بد هیجان ایجاد شده توسط گزارش‌های مشاوره‌ای اپل و گزارش‌های خبری متعدد با ذکر نام Pegasus را گرفته و از آن برای فروش نمونه‌های تصادفی و خودساخته با نام Pegasus استفاده کردند. اگرچه این جاسوس افزار هنوز هم مخرب است و به قربانیان آسیب می رساند، اما به احتمال زیاد به گروه NSO یا Pegasus مرتبط نیست.

این گزارش از یک بررسی انتقادی پس از یک حادثه حمله تهدید خواست تا عوامل تهدید را به درستی شناسایی کند، زیرا می‌تواند به شرکت‌های امنیت سایبری کمک کند تا تقویت‌کننده‌ها را شناسایی و پیشنهاد کنند و اطمینان حاصل شود که وحشت در بین مردم گسترش نمی‌یابد.