Home » Lumea digitala » Spyware-ul FinFisher își îmbunătățește arsenalul pentru evitarea programelor de detectare

Spyware-ul FinFisher își îmbunătățește arsenalul pentru evitarea programelor de detectare

Spyware-ul FinFisher își îmbunătățește arsenalul pentru evitarea programelor de detectare
Sursa foto: Unsplash

Cercetătorii Kaspersky au prezentat o investigație asupra tuturor actualizărilor recente introduse în spyware-ul FinSpy pentru Windows, Mac OS, Linux și instalatorii acestora. Aceștia au stabit că spyware FinFisher și-a îmbunătățit arsenalul cu 4 niveluri de evitare a programelor de detectare.

Potrivit Kaspersky, cercetarea, care a durat opt luni, a scos la iveală implementarea programelor de escamotare în patru straturi și măsuri avansate de anti-analiză folosite de dezvoltatorii de spyware, precum și utilizarea unui bootkit UEFI pentru infectarea victimelor. Descoperirile sugerează un accent deosebit pe evitarea sistemelor de protecție, făcând din FinFisher unul dintre cele mai greu de detectat spyware de până acum.

FinFisher, cunoscut și sub numele de FinSpy sau Wingbird, este un instrument de supraveghere, pe care Kaspersky îl urmărește din 2011. Este capabil să adune diverse date de acreditare, listări de fișiere și fișiere șterse, precum și diverse documente, streaming live sau înregistrări de date, inclusiv acces la camere web și microfoane. Implanturile sale Windows au fost detectate și cercetate de mai multe ori până în 2018, când FinFisher părea să fi ieșit de pe radar.

Versiunile noi au fost protejate de două componente

După aceea, soluțiile Kaspersky au detectat instalatori suspecți de aplicații legitime, precum TeamViewer, VLC Media Player și WinRAR, care conțineau coduri rău intenționate care nu puteau fi puse în legătură cu niciun malware cunoscut. Până când, într-o zi, au descoperit un site web în birmaneză, care conținea programele de instalare infectate și mostre de FinFisher pentru Android, ajutând la concluzia că a fost infectat cu troieni din același spyware. Această descoperire i-a împins pe cercetătorii Kaspersky să investigheze în continuare FinFisher.

„Spre deosebire de versiunile anterioare ale spyware-ului, care conținea troianul în aplicația infectată, mostrele noi au fost protejate de două componente: pre-validator non-persistent și un post-validator. Prima componentă execută mai multe verificări de securitate pentru a se asigura că dispozitivul pe care îl infectează nu aparține unui cercetător de securitate. Numai când aceste verificări sunt finalizate, componenta Post-Validator este furnizată de server – această componentă se asigură că victima infectată este cea vizată. Abia atunci serverul comandă implementarea platformei troiene cu drepturi depline”, se arată într-un comunicat al Kaspersky.

Conform acestuia, FinFisher este puternic îmbunătățit cu patru sisteme de escamotare complexe, custom-made. Funcția principală a acestui camuflaj este de a încetini analiza spyware-ului. Mai mult decât atât, troianul folosește și modalități specifice de a colecta informații. De exemplu, folosește modul dezvoltatorilor în browsere pentru a intercepta traficul protejat cu un protocol HTTPS.

Cercetătorii au descoperit, de asemenea, un eșantion de FinFisher care a înlocuit bootloader-ul Windows UEFI – o componentă care lansează sistemul de operare după lansarea firmware-ului, împreună cu unul rău intenționat. Acest tip de infecție le-a permis atacatorilor să instaleze un bootkit fără a fi nevoie să ocolească verificările de securitate ale firmware-ului. Infecțiile UEFI sunt foarte rare și, în general, greu de executat, se remarcă datorită evazivității și persistenței lor. În timp ce, în acest caz, atacatorii nu au infectat firmware-ul UEFI în sine, ci următoarea etapă de boot, atacul a fost deosebit de bine camuflat, deoarece modulul rău intenționat a fost instalat pe o partiție separată și putea controla procesul de boot al mașinii infectate.

„Cantitatea de muncă depusă pentru ca FinFisher să nu fie accesibil cercetătorilor în domeniul securității este îngrijorătoare și oarecum impresionantă. Se pare că dezvoltatorii depun cel puțin la fel de multă muncă în măsurile de camuflare și anti-analiză ca în troianul însuși. Drept urmare, capacitățile sale de a evita orice detecți și analiză fac ca acest spyware să fie deosebit de greu de urmărit și detectat. Faptul că acest spyware este implementat cu precizie ridicată și este, practice, imposibil de analizat înseamnă, de asemenea, că victimele sale sunt deosebit de vulnerabile, iar cercetătorii se confruntă cu o provocare specială – trebuie să investească o cantitate copleșitoare de resurse pentru a descurca fiecare eșantion. Cred că amenințările complexe, cum ar fi FinFisher, demonstrează importanța cooperării cercetătorilor în domeniul securității, precum a investițiilor în noi tipuri de soluții de securitate care pot combate astfel de amenințări”, susține Igor Kuznetsov, cercetător principal în domeniul securității la Global Research and Analysis Team (GReAT) Kaspersky.

Redactia Descopera.ro
Redactia Descopera.ro
Descopera.ro este un portal de stiinta, tehnologie, natura si calatorii care isi propune sa fie cel mai mare site de popularizare a stiintelor si de cultura generala din Romania. Sub sloganul E LUMEA TA!, DESCOPERA.RO aduce zilnic ultimele stiri din cele mai fascinante domenii stiintifice, investigh... citește mai mult
Cele mai noi articole
Cutia Neagră a Pământului, structura indestructibilă care va spune ce s-a întâmplat cu omenirea în viitor
Cutia Neagră a Pământului, structura indestructibilă care va spune ce s-a întâmplat cu omenirea în viitor
Kalașnikov vrea să cucerească piața de mașini electrice
Kalașnikov vrea să cucerească piața de mașini electrice
Noi cercetări arată că un medicament comun inhibă tratamentele pentru cancerul pulmonar
Noi cercetări arată că un medicament comun inhibă tratamentele pentru cancerul pulmonar
Ultimul ofițer supraviețuitor al vestitei „Band of Brothers” din al Doilea Război Mondial a murit
Ultimul ofițer supraviețuitor al vestitei „Band of Brothers” din al Doilea Război Mondial a murit
Bijuterii din aur din vremea lui Nefertiti, găsite în morminte din Cipru
Bijuterii din aur din vremea lui Nefertiti, găsite în morminte din Cipru
Un studiu arată că simptomele sindromului premenstrual pot fi reduse de spațiile verzi
Un studiu arată că simptomele sindromului premenstrual pot fi reduse de spațiile verzi
Care sunt cele mai apreciate aeroporturi din România – studiu
Care sunt cele mai apreciate aeroporturi din România – studiu
Care au fost cele mai importante personalități ale anului 2021
Care au fost cele mai importante personalități ale anului 2021
Ericsson Mobility Report: în ultimii 10 ani traficul mobil a crescut de aproape 300 de ori
Ericsson Mobility Report: în ultimii 10 ani traficul mobil a crescut de aproape 300 de ori
Marina americană iubea hidroavioanele pentru că puteau fi adaptate ușor
Marina americană iubea hidroavioanele pentru că puteau fi adaptate ușor
Hans Christian Andersen, un suflet neînțeles și nemuritor al lumii literare
Hans Christian Andersen, un suflet neînțeles și nemuritor al lumii literare
Muzeul BNR se redeschide vizitatorilor cu două noi expoziții temporare
Muzeul BNR se redeschide vizitatorilor cu două noi expoziții temporare
Moș Nicolae, protectorul copiilor și inspirația pentru un alt bătrân aducător de daruri
Moș Nicolae, protectorul copiilor și inspirația pentru un alt bătrân aducător de daruri
9,2 miliarde lei – maxim istoric pe care îl atinge industria software în 2021
9,2 miliarde lei – maxim istoric pe care îl atinge industria software în 2021
Nicolae Kalinderu, medicul român de care puţini ştiu, a fost extrem de apreciat peste hotarele ţării
Nicolae Kalinderu, medicul român de care puţini ştiu, a fost extrem de apreciat peste hotarele ţării
Cel mai bătrân copac din lume, un stejar vechi de 13.000 de ani, s-a „clonat” singur
Cel mai bătrân copac din lume, un stejar vechi de 13.000 de ani, s-a „clonat” singur
Alex Baldwin recunoaște că i s-ar putea încheia cariera după împușcarea Halynei Hutchins
Alex Baldwin recunoaște că i s-ar putea încheia cariera după împușcarea Halynei Hutchins
Prognoza meteo pentru decembrie. Vremea va fi mai caldă decât în mod normal
Prognoza meteo pentru decembrie. Vremea va fi mai caldă decât în mod normal