Home » Lumea digitală » Spyware-ul FinFisher își îmbunătățește arsenalul pentru evitarea programelor de detectare

Spyware-ul FinFisher își îmbunătățește arsenalul pentru evitarea programelor de detectare

Publicat: 10.10.2021
Spyware-ul FinFisher își îmbunătățește arsenalul pentru evitarea programelor de detectare
Sursa foto: Unsplash

Cercetătorii Kaspersky au prezentat o investigație asupra tuturor actualizărilor recente introduse în spyware-ul FinSpy pentru Windows, Mac OS, Linux și instalatorii acestora. Aceștia au stabit că spyware FinFisher și-a îmbunătățit arsenalul cu 4 niveluri de evitare a programelor de detectare.

Potrivit Kaspersky, cercetarea, care a durat opt luni, a scos la iveală implementarea programelor de escamotare în patru straturi și măsuri avansate de anti-analiză folosite de dezvoltatorii de spyware, precum și utilizarea unui bootkit UEFI pentru infectarea victimelor. Descoperirile sugerează un accent deosebit pe evitarea sistemelor de protecție, făcând din FinFisher unul dintre cele mai greu de detectat spyware de până acum.

FinFisher, cunoscut și sub numele de FinSpy sau Wingbird, este un instrument de supraveghere, pe care Kaspersky îl urmărește din 2011. Este capabil să adune diverse date de acreditare, listări de fișiere și fișiere șterse, precum și diverse documente, streaming live sau înregistrări de date, inclusiv acces la camere web și microfoane. Implanturile sale Windows au fost detectate și cercetate de mai multe ori până în 2018, când FinFisher părea să fi ieșit de pe radar.

Versiunile noi au fost protejate de două componente

După aceea, soluțiile Kaspersky au detectat instalatori suspecți de aplicații legitime, precum TeamViewer, VLC Media Player și WinRAR, care conțineau coduri rău intenționate care nu puteau fi puse în legătură cu niciun malware cunoscut. Până când, într-o zi, au descoperit un site web în birmaneză, care conținea programele de instalare infectate și mostre de FinFisher pentru Android, ajutând la concluzia că a fost infectat cu troieni din același spyware. Această descoperire i-a împins pe cercetătorii Kaspersky să investigheze în continuare FinFisher.

„Spre deosebire de versiunile anterioare ale spyware-ului, care conținea troianul în aplicația infectată, mostrele noi au fost protejate de două componente: pre-validator non-persistent și un post-validator. Prima componentă execută mai multe verificări de securitate pentru a se asigura că dispozitivul pe care îl infectează nu aparține unui cercetător de securitate. Numai când aceste verificări sunt finalizate, componenta Post-Validator este furnizată de server – această componentă se asigură că victima infectată este cea vizată. Abia atunci serverul comandă implementarea platformei troiene cu drepturi depline”, se arată într-un comunicat al Kaspersky.

Conform acestuia, FinFisher este puternic îmbunătățit cu patru sisteme de escamotare complexe, custom-made. Funcția principală a acestui camuflaj este de a încetini analiza spyware-ului. Mai mult decât atât, troianul folosește și modalități specifice de a colecta informații. De exemplu, folosește modul dezvoltatorilor în browsere pentru a intercepta traficul protejat cu un protocol HTTPS.

Cercetătorii au descoperit, de asemenea, un eșantion de FinFisher care a înlocuit bootloader-ul Windows UEFI – o componentă care lansează sistemul de operare după lansarea firmware-ului, împreună cu unul rău intenționat. Acest tip de infecție le-a permis atacatorilor să instaleze un bootkit fără a fi nevoie să ocolească verificările de securitate ale firmware-ului. Infecțiile UEFI sunt foarte rare și, în general, greu de executat, se remarcă datorită evazivității și persistenței lor. În timp ce, în acest caz, atacatorii nu au infectat firmware-ul UEFI în sine, ci următoarea etapă de boot, atacul a fost deosebit de bine camuflat, deoarece modulul rău intenționat a fost instalat pe o partiție separată și putea controla procesul de boot al mașinii infectate.

„Cantitatea de muncă depusă pentru ca FinFisher să nu fie accesibil cercetătorilor în domeniul securității este îngrijorătoare și oarecum impresionantă. Se pare că dezvoltatorii depun cel puțin la fel de multă muncă în măsurile de camuflare și anti-analiză ca în troianul însuși. Drept urmare, capacitățile sale de a evita orice detecți și analiză fac ca acest spyware să fie deosebit de greu de urmărit și detectat. Faptul că acest spyware este implementat cu precizie ridicată și este, practice, imposibil de analizat înseamnă, de asemenea, că victimele sale sunt deosebit de vulnerabile, iar cercetătorii se confruntă cu o provocare specială – trebuie să investească o cantitate copleșitoare de resurse pentru a descurca fiecare eșantion. Cred că amenințările complexe, cum ar fi FinFisher, demonstrează importanța cooperării cercetătorilor în domeniul securității, precum a investițiilor în noi tipuri de soluții de securitate care pot combate astfel de amenințări”, susține Igor Kuznetsov, cercetător principal în domeniul securității la Global Research and Analysis Team (GReAT) Kaspersky.

Redactia Descopera.ro
Redactia Descopera.ro
Descopera.ro este un portal de stiinta, tehnologie, natura si calatorii care isi propune sa fie cel mai mare site de popularizare a stiintelor si de cultura generala din Romania. Sub sloganul E LUMEA TA!, DESCOPERA.RO aduce zilnic ultimele stiri din cele mai fascinante domenii stiintifice, investigh... citește mai mult
Urmărește DESCOPERĂ.ro pe
Google News și Google Showcase
Cele mai noi articole
Ce spun experții militari despre războiul în spațiu? „Viața nu va mai fi așa cum o știm!”
Ce spun experții militari despre războiul în spațiu? „Viața nu va mai fi așa cum o știm!”
Steve Jobs, părintele Apple. „Dacă tu crezi că nu meriți, nu vei avea nimic”
Steve Jobs, părintele Apple. „Dacă tu crezi că nu meriți, nu vei avea nimic”
Prognoza meteo pentru următoarele săptămâni. Cum va fi vremea de Ziua Națională?
Prognoza meteo pentru următoarele săptămâni. Cum va fi vremea de Ziua Națională?
Elevii vor putea învăța istoria, engleza și matematica prin jocuri video
Elevii vor putea învăța istoria, engleza și matematica prin jocuri video
Ziua în care saşii din Transilvania au devenit privilegiaţi pentru următorii 650 de ani
Ziua în care saşii din Transilvania au devenit privilegiaţi pentru următorii 650 de ani
Papa Francisc, înregistrat în secret în timpul unei convorbiri cu unul dintre cardinalii săi
Papa Francisc, înregistrat în secret în timpul unei convorbiri cu unul dintre cardinalii săi
Un bărbat a fost salvat după mai bine de 15 ore petrecute în mare
Un bărbat a fost salvat după mai bine de 15 ore petrecute în mare
Cel mai mare vulcan din lume a erupt pentru prima dată în ultimii 38 de ani
Cel mai mare vulcan din lume a erupt pentru prima dată în ultimii 38 de ani
Acțiunile talibanilor împotriva femeilor afgane, o crimă împotriva umanității
Acțiunile talibanilor împotriva femeilor afgane, o crimă împotriva umanității
Kim Jong-un vrea ca țara sa să fie cea mai puternică forță nucleară din lume
Kim Jong-un vrea ca țara sa să fie cea mai puternică forță nucleară din lume
Deșeurile de hârtie pot fi transformate în baterii pentru telefoane mobile și vehicule electrice
Deșeurile de hârtie pot fi transformate în baterii pentru telefoane mobile și vehicule electrice
Arheologii au descoperit dovezi ale unui oraș mayaș pierdut. Ce mistere ascunde?
Arheologii au descoperit dovezi ale unui oraș mayaș pierdut. Ce mistere ascunde?
Cercetătorii au dezvoltat o nouă metodă contraceptivă pentru bărbați
Cercetătorii au dezvoltat o nouă metodă contraceptivă pentru bărbați
Am putea stoca energia din fulgere?
Am putea stoca energia din fulgere?
Anemonele-de-mare, o specie marină care rămâne veșnic tânără datorită neuronilor săi
Anemonele-de-mare, o specie marină care rămâne veșnic tânără datorită neuronilor săi
Capsula Orion a doborât recordul pentru cea mai mare distanță parcursă vreodată de o navă spațială concepută pentru oameni
Capsula Orion a doborât recordul pentru cea mai mare distanță parcursă vreodată de o navă spațială concepută pentru ...
Un naufragiu din secolul XV dezvăluie detalii neștiute despre Europa medievală
Un naufragiu din secolul XV dezvăluie detalii neștiute despre Europa medievală
Amelia Earhart, prima femeie pilot care a traversat Atlanticul în zbor. „Cel mai eficient mod de a face ceva este să faci”
Amelia Earhart, prima femeie pilot care a traversat Atlanticul în zbor. „Cel mai eficient mod de a face ceva este să ...