Spyware-ul FinFisher își îmbunătățește arsenalul pentru evitarea programelor de detectare
Cercetătorii Kaspersky au prezentat o investigație asupra tuturor actualizărilor recente introduse în spyware-ul FinSpy pentru Windows, Mac OS, Linux și instalatorii acestora. Aceștia au stabit că spyware FinFisher și-a îmbunătățit arsenalul cu 4 niveluri de evitare a programelor de detectare.
Potrivit Kaspersky, cercetarea, care a durat opt luni, a scos la iveală implementarea programelor de escamotare în patru straturi și măsuri avansate de anti-analiză folosite de dezvoltatorii de spyware, precum și utilizarea unui bootkit UEFI pentru infectarea victimelor. Descoperirile sugerează un accent deosebit pe evitarea sistemelor de protecție, făcând din FinFisher unul dintre cele mai greu de detectat spyware de până acum.
FinFisher, cunoscut și sub numele de FinSpy sau Wingbird, este un instrument de supraveghere, pe care Kaspersky îl urmărește din 2011. Este capabil să adune diverse date de acreditare, listări de fișiere și fișiere șterse, precum și diverse documente, streaming live sau înregistrări de date, inclusiv acces la camere web și microfoane. Implanturile sale Windows au fost detectate și cercetate de mai multe ori până în 2018, când FinFisher părea să fi ieșit de pe radar.
Versiunile noi au fost protejate de două componente
După aceea, soluțiile Kaspersky au detectat instalatori suspecți de aplicații legitime, precum TeamViewer, VLC Media Player și WinRAR, care conțineau coduri rău intenționate care nu puteau fi puse în legătură cu niciun malware cunoscut. Până când, într-o zi, au descoperit un site web în birmaneză, care conținea programele de instalare infectate și mostre de FinFisher pentru Android, ajutând la concluzia că a fost infectat cu troieni din același spyware. Această descoperire i-a împins pe cercetătorii Kaspersky să investigheze în continuare FinFisher.
„Spre deosebire de versiunile anterioare ale spyware-ului, care conținea troianul în aplicația infectată, mostrele noi au fost protejate de două componente: pre-validator non-persistent și un post-validator. Prima componentă execută mai multe verificări de securitate pentru a se asigura că dispozitivul pe care îl infectează nu aparține unui cercetător de securitate. Numai când aceste verificări sunt finalizate, componenta Post-Validator este furnizată de server – această componentă se asigură că victima infectată este cea vizată. Abia atunci serverul comandă implementarea platformei troiene cu drepturi depline”, se arată într-un comunicat al Kaspersky.
Conform acestuia, FinFisher este puternic îmbunătățit cu patru sisteme de escamotare complexe, custom-made. Funcția principală a acestui camuflaj este de a încetini analiza spyware-ului. Mai mult decât atât, troianul folosește și modalități specifice de a colecta informații. De exemplu, folosește modul dezvoltatorilor în browsere pentru a intercepta traficul protejat cu un protocol HTTPS.
Cercetătorii au descoperit, de asemenea, un eșantion de FinFisher care a înlocuit bootloader-ul Windows UEFI – o componentă care lansează sistemul de operare după lansarea firmware-ului, împreună cu unul rău intenționat. Acest tip de infecție le-a permis atacatorilor să instaleze un bootkit fără a fi nevoie să ocolească verificările de securitate ale firmware-ului. Infecțiile UEFI sunt foarte rare și, în general, greu de executat, se remarcă datorită evazivității și persistenței lor. În timp ce, în acest caz, atacatorii nu au infectat firmware-ul UEFI în sine, ci următoarea etapă de boot, atacul a fost deosebit de bine camuflat, deoarece modulul rău intenționat a fost instalat pe o partiție separată și putea controla procesul de boot al mașinii infectate.
„Cantitatea de muncă depusă pentru ca FinFisher să nu fie accesibil cercetătorilor în domeniul securității este îngrijorătoare și oarecum impresionantă. Se pare că dezvoltatorii depun cel puțin la fel de multă muncă în măsurile de camuflare și anti-analiză ca în troianul însuși. Drept urmare, capacitățile sale de a evita orice detecți și analiză fac ca acest spyware să fie deosebit de greu de urmărit și detectat. Faptul că acest spyware este implementat cu precizie ridicată și este, practice, imposibil de analizat înseamnă, de asemenea, că victimele sale sunt deosebit de vulnerabile, iar cercetătorii se confruntă cu o provocare specială – trebuie să investească o cantitate copleșitoare de resurse pentru a descurca fiecare eșantion. Cred că amenințările complexe, cum ar fi FinFisher, demonstrează importanța cooperării cercetătorilor în domeniul securității, precum a investițiilor în noi tipuri de soluții de securitate care pot combate astfel de amenințări”, susține Igor Kuznetsov, cercetător principal în domeniul securității la Global Research and Analysis Team (GReAT) Kaspersky.