Home » Lumea digitală » Spyware-ul FinFisher își îmbunătățește arsenalul pentru evitarea programelor de detectare

Spyware-ul FinFisher își îmbunătățește arsenalul pentru evitarea programelor de detectare

Spyware-ul FinFisher își îmbunătățește arsenalul pentru evitarea programelor de detectare
Sursa foto: Unsplash
Publicat: 10.10.2021

Cercetătorii Kaspersky au prezentat o investigație asupra tuturor actualizărilor recente introduse în spyware-ul FinSpy pentru Windows, Mac OS, Linux și instalatorii acestora. Aceștia au stabit că spyware FinFisher și-a îmbunătățit arsenalul cu 4 niveluri de evitare a programelor de detectare.

Potrivit Kaspersky, cercetarea, care a durat opt luni, a scos la iveală implementarea programelor de escamotare în patru straturi și măsuri avansate de anti-analiză folosite de dezvoltatorii de spyware, precum și utilizarea unui bootkit UEFI pentru infectarea victimelor. Descoperirile sugerează un accent deosebit pe evitarea sistemelor de protecție, făcând din FinFisher unul dintre cele mai greu de detectat spyware de până acum.

FinFisher, cunoscut și sub numele de FinSpy sau Wingbird, este un instrument de supraveghere, pe care Kaspersky îl urmărește din 2011. Este capabil să adune diverse date de acreditare, listări de fișiere și fișiere șterse, precum și diverse documente, streaming live sau înregistrări de date, inclusiv acces la camere web și microfoane. Implanturile sale Windows au fost detectate și cercetate de mai multe ori până în 2018, când FinFisher părea să fi ieșit de pe radar.

Versiunile noi au fost protejate de două componente

După aceea, soluțiile Kaspersky au detectat instalatori suspecți de aplicații legitime, precum TeamViewer, VLC Media Player și WinRAR, care conțineau coduri rău intenționate care nu puteau fi puse în legătură cu niciun malware cunoscut. Până când, într-o zi, au descoperit un site web în birmaneză, care conținea programele de instalare infectate și mostre de FinFisher pentru Android, ajutând la concluzia că a fost infectat cu troieni din același spyware. Această descoperire i-a împins pe cercetătorii Kaspersky să investigheze în continuare FinFisher.

„Spre deosebire de versiunile anterioare ale spyware-ului, care conținea troianul în aplicația infectată, mostrele noi au fost protejate de două componente: pre-validator non-persistent și un post-validator. Prima componentă execută mai multe verificări de securitate pentru a se asigura că dispozitivul pe care îl infectează nu aparține unui cercetător de securitate. Numai când aceste verificări sunt finalizate, componenta Post-Validator este furnizată de server – această componentă se asigură că victima infectată este cea vizată. Abia atunci serverul comandă implementarea platformei troiene cu drepturi depline”, se arată într-un comunicat al Kaspersky.

Conform acestuia, FinFisher este puternic îmbunătățit cu patru sisteme de escamotare complexe, custom-made. Funcția principală a acestui camuflaj este de a încetini analiza spyware-ului. Mai mult decât atât, troianul folosește și modalități specifice de a colecta informații. De exemplu, folosește modul dezvoltatorilor în browsere pentru a intercepta traficul protejat cu un protocol HTTPS.

Cercetătorii au descoperit, de asemenea, un eșantion de FinFisher care a înlocuit bootloader-ul Windows UEFI – o componentă care lansează sistemul de operare după lansarea firmware-ului, împreună cu unul rău intenționat. Acest tip de infecție le-a permis atacatorilor să instaleze un bootkit fără a fi nevoie să ocolească verificările de securitate ale firmware-ului. Infecțiile UEFI sunt foarte rare și, în general, greu de executat, se remarcă datorită evazivității și persistenței lor. În timp ce, în acest caz, atacatorii nu au infectat firmware-ul UEFI în sine, ci următoarea etapă de boot, atacul a fost deosebit de bine camuflat, deoarece modulul rău intenționat a fost instalat pe o partiție separată și putea controla procesul de boot al mașinii infectate.

„Cantitatea de muncă depusă pentru ca FinFisher să nu fie accesibil cercetătorilor în domeniul securității este îngrijorătoare și oarecum impresionantă. Se pare că dezvoltatorii depun cel puțin la fel de multă muncă în măsurile de camuflare și anti-analiză ca în troianul însuși. Drept urmare, capacitățile sale de a evita orice detecți și analiză fac ca acest spyware să fie deosebit de greu de urmărit și detectat. Faptul că acest spyware este implementat cu precizie ridicată și este, practice, imposibil de analizat înseamnă, de asemenea, că victimele sale sunt deosebit de vulnerabile, iar cercetătorii se confruntă cu o provocare specială – trebuie să investească o cantitate copleșitoare de resurse pentru a descurca fiecare eșantion. Cred că amenințările complexe, cum ar fi FinFisher, demonstrează importanța cooperării cercetătorilor în domeniul securității, precum a investițiilor în noi tipuri de soluții de securitate care pot combate astfel de amenințări”, susține Igor Kuznetsov, cercetător principal în domeniul securității la Global Research and Analysis Team (GReAT) Kaspersky.

Redactia Descopera.ro
Redactia Descopera.ro
Descopera.ro este un portal de stiinta, tehnologie, natura si calatorii care isi propune sa fie cel mai mare site de popularizare a stiintelor si de cultura generala din Romania. Sub sloganul E LUMEA TA!, DESCOPERA.RO aduce zilnic ultimele stiri din cele mai fascinante domenii stiintifice, investigh... citește mai mult
Urmărește DESCOPERĂ.ro pe
Google News și Google Showcase
Cele mai noi articole
Un nou experiment sugerează că suntem singura civilizație inteligentă din galaxie
Un nou experiment sugerează că suntem singura civilizație inteligentă din galaxie
Unii îndulcitori artificiali sunt chimicale eterne care ar putea afecta viața acvatică
Unii îndulcitori artificiali sunt chimicale eterne care ar putea afecta viața acvatică
I.G. Duca, provocat de vărul său la un duel cu pistoale în Copou: „A trebuit să ridic mănușa”
I.G. Duca, provocat de vărul său la un duel cu pistoale în Copou: „A trebuit să ridic mănușa”
Oamenii de știință vor să afle de ce ne îmbujorăm
Oamenii de știință vor să afle de ce ne îmbujorăm
A fost găsită bacteria intestinală care ar putea opri dependența de mâncare
A fost găsită bacteria intestinală care ar putea opri dependența de mâncare
Tinerii sunt atât de nefericiți încât au schimbat o parte fundamentală a vieții
Tinerii sunt atât de nefericiți încât au schimbat o parte fundamentală a vieții
Test de cultură generală. Care este diferența dintre președinte și prim-ministru?
Test de cultură generală. Care este diferența dintre președinte și prim-ministru?
(P) Descoperă cele mai bune restaurante din cazinouri
(P) Descoperă cele mai bune restaurante din cazinouri
Pentru prima dată, NASA a transmis un cântec în spațiul îndepărtat, tocmai până la Venus
Pentru prima dată, NASA a transmis un cântec în spațiul îndepărtat, tocmai până la Venus
Zeci de mii de garduri au împânzit Parisul înainte de începerea Jocurilor Olimpice
Zeci de mii de garduri au împânzit Parisul înainte de începerea Jocurilor Olimpice
De ce a înotat în Sena primarul Parisului cu nouă zile înainte de Jocurile Olimpice
De ce a înotat în Sena primarul Parisului cu nouă zile înainte de Jocurile Olimpice
Grecia restricționează munca în aer liber din cauza valului de căldură
Grecia restricționează munca în aer liber din cauza valului de căldură
Ziua în care se publica una dintre cele mai celebre cărţi din istorie
Ziua în care se publica una dintre cele mai celebre cărţi din istorie
Membrii unui trib necontactat până acum au ieșit din pădurea amazoniană în căutarea hranei
Membrii unui trib necontactat până acum au ieșit din pădurea amazoniană în căutarea hranei
Mai mulți elevi au ajuns la spital după ce au mâncat chipsuri picante interzise celor sub 18 ani
Mai mulți elevi au ajuns la spital după ce au mâncat chipsuri picante interzise celor sub 18 ani
Adele anunță „o mare pauză de la muzică”. Ce planuri are artista?
Adele anunță „o mare pauză de la muzică”. Ce planuri are artista?
Un indian a rămas blocat într-un lift timp de aproape două zile
Un indian a rămas blocat într-un lift timp de aproape două zile
Cea mai rară gaură neagră din Calea Lactee, ascunsă după 7 stele care „nu ar trebui să fie acolo”
Cea mai rară gaură neagră din Calea Lactee, ascunsă după 7 stele care „nu ar trebui să fie acolo”