Cookie Consent by Free Privacy Policy website Lo spyware FinFisher migliora il suo arsenale con quattro livelli di offuscamento e tecniche di infezione UEFI
settembre 29, 2021 - Kaspersky Lab

Lo spyware FinFisher migliora il suo arsenale con quattro livelli di offuscamento e tecniche di infezione UEFI

I ricercatori #kaspersky hanno presentato un'indagine approfondita su tutti gli aggiornamenti più recenti introdotti nello spyware FinSpy per Windows, Mac OS, Linux e i suoi installer. Durante l’indagine, durata otto mesi, sono stati scoperti l'offuscamento a quattro livelli e le misure avanzate anti-analisi impiegate dagli sviluppatori dello spyware, nonché un bootkit UEFI usato per infettare le vittime. I risultati dello studio dimostrano quanto FinFisher sia, ad oggi, uno degli spyware più difficili da rilevare in quanto è in grado di eludere i controlli di sicurezza.

FinFisher, noto anche come FinSpy o Wingbird, è uno strumento di sorveglianza che #kaspersky monitora dal 2011. È in grado di raccogliere varie credenziali, directory, file cancellati, così come vari documenti, livestreaming o registrazione di dati e ottenere l'accesso a webcam e microfoni. Gli impianti Windows di FinFisher sono stati rilevati e analizzati più volte fino al 2018, quando poi è scomparso dai radar e si sono perse le tracce.

In seguito, le soluzioni di #kaspersky hanno rilevato installer sospetti di applicazioni legittime come TeamViewer, VLC Media Player e WinRAR, che contenevano un codice dannoso che non corrispondeva a nessun malware noto. Questo fin quando non è stato individuato un sito web in lingua birmana contenente gli installer infetti e i sample di FinFisher per Android che hanno consentito ai ricercatori di capire che erano stati infettati con lo stesso spyware. Questa scoperta ha poi spinto i ricercatori di #kaspersky ad indagare ulteriormente su FinFisher.

A differenza delle versioni precedenti dello spyware, che contenevano il Trojan nell'applicazione infetta, i nuovi sample erano protetti da due componenti: un Pre-Validator non persistente e un Post-Validator. Il primo componente eseguiva diversi controlli di sicurezza per assicurarsi che il dispositivo da infettare non appartenesse a un ricercatore di sicurezza. Solo dopo aver effettuato questi controlli preliminari, il server eseguiva il Post-Validator che si accertava di aver infettato la vittima prescelta. Solo dopo questi passaggi il server ordina la distribuzione della piattaforma Trojan completa.

FinFisher è offuscato da quattro complessi offuscatori personalizzati, la cui funzione è rallentare l'analisi dello spyware. Inoltre, il Trojan utilizza metodi peculiari per raccogliere informazioni. Ad esempio, all’interno dei browser usa la modalità sviluppatore per intercettare il traffico protetto con protocolli HTTPS.

I ricercatori hanno anche scoperto un campione di FinFisher che ha sostituito il bootloader UEFI di Windows - un componente che lancia il sistema operativo dopo l'avvio del firmware - con uno dannoso. Questo metodo di infezione ha permesso ai criminali informatici di installare un bootkit senza la necessità di bypassare i controlli di sicurezza del firmware. Le infezioni UEFI sono molto rare e generalmente difficili da eseguire, si distinguono per la loro evasività e persistenza. In questo caso gli attaccanti non hanno infettato il firmware UEFI stesso, ma la sua fase di avvio successiva. L'attacco è stato particolarmente furtivo poiché il modulo dannoso era stato installato su una partizione separata ed era in grado di controllare il processo di avvio del dispositivo infetto.

Il lavoro che è stato fatto per rendere FinFisher inaccessibile ai ricercatori di sicurezza è davvero preoccupante e piuttosto impressionante. Gli sviluppatori hanno lavorato non solo al Trojan stesso, ma anche alla creazione di pesanti misure di offuscamento e anti-analisi per proteggerlo. Di conseguenza, questo spyware è particolarmente difficile da tracciare e rilevare grazie alle sue capacità di eludere qualsiasi indagine e analisi. Il fatto che questo malware venga distribuito con estrema precisione e sia praticamente impossibile da rilevare significa anche che le sue vittime sono particolarmente vulnerabili. Questo costituisce anche una grande sfida per i ricercatori: serve investire una quantità enorme di risorse per districare ogni singolo sample. Credo che minacce complesse come FinFisher dimostrino quanto sia importante la cooperazione e lo scambio di conoscenze tra i ricercatori di sicurezza, nonché l’investimento in nuovi tipi di soluzioni di sicurezza in grado di contrastare queste minacce", ha commentato Igor Kuznetsov, principal security researcher del Global Research and Analysis Team di #kaspersky (GReAT).

Il report completo su FinFisher è disponibile su Securelist.

Per proteggersi da minacce come FinFisher, #kaspersky consiglia di:

  • Scaricare applicazioni e programmi solo da siti web affidabili.
  • Aggiornare regolarmente i propri sistemi operativi e software. Molti problemi di sicurezza possono essere risolti installando le versioni aggiornate.
  • Prestare attenzione agli allegati delle email. Prima di aprire un file o cliccare su un link, verificare che si tratti di un file atteso, sicuro e che arrivi da persone fidate. Passare il mouse su link e allegati per visualizzare il loro nome o la pagina web a cui reindirizzano.
  • Non installare software provenienti da fonti sconosciute, in quanto possono contenere file dannosi.
  • Utilizzare una soluzione di sicurezza affidabile su tutti i computer e dispositivi mobili, come Kaspersky Internet Security for Android o Kaspersky Total Security.

Per la protezione aziendale, #kaspersky suggerisce di:

  • Mettere in atto politiche per l'utilizzo di software non aziendali. Informare i dipendenti sui rischi del download di applicazioni non autorizzate e provenienti da fonti non attendibili.
  • Fornire al personale una formazione di base sulla sicurezza informatica, in quanto molti attacchi mirati iniziano con phishing o altre tecniche di ingegneria sociale.
  • Installare soluzioni anti-APT ed EDR per rilevare le minacce, analizzarle e risolvere tempestivamente gli incidenti. Fornire al team SOC l'accesso alle informazioni più recenti sulle minacce informatiche, e fare aggiornamenti regolari attraverso una formazione professionale. Tutto ciò è disponibile all'interno del framework Kaspersky Expert Security.
  • Insieme a un'adeguata protezione degli endpoint, i servizi dedicati possono aiutare contro gli attacchi di alto profilo. Il servizio Kaspersky Managed Detection and Response aiuta ad identificare e bloccare gli attacchi sin dalle fasi iniziali, prima che i criminali raggiungano i loro obiettivi.

News correlate

marzo 12, 2024
febbraio 28, 2024
febbraio 26, 2024

Kaspersky, leader globale nella sicurezza informatica, annuncia la nuova nomina di Maura Frusone a Head of B2B Sales, sottolineand...

i ricercatori di Kaspersky hanno scoperto che le vulnerabilità di un popolare robottino smart potrebbero rendere i bambini potenzi...

Nel 2023, Kaspersky ha osservato un aumento costante del numero di attacchi ai dispositivi mobile, raggiungendo circa 33,8 milioni...