I ricercatori #kaspersky hanno presentato un'indagine approfondita su tutti gli aggiornamenti più recenti introdotti nello spyware FinSpy per Windows, Mac OS, Linux e i suoi installer. Durante l’indagine, durata otto mesi, sono stati scoperti l'offuscamento a quattro livelli e le misure avanzate anti-analisi impiegate dagli sviluppatori dello spyware, nonché un bootkit UEFI usato per infettare le vittime. I risultati dello studio dimostrano quanto FinFisher sia, ad oggi, uno degli spyware più difficili da rilevare in quanto è in grado di eludere i controlli di sicurezza.
FinFisher, noto anche come FinSpy o Wingbird, è uno strumento di sorveglianza che #kaspersky monitora dal 2011. È in grado di raccogliere varie credenziali, directory, file cancellati, così come vari documenti, livestreaming o registrazione di dati e ottenere l'accesso a webcam e microfoni. Gli impianti Windows di FinFisher sono stati rilevati e analizzati più volte fino al 2018, quando poi è scomparso dai radar e si sono perse le tracce.
In seguito, le soluzioni di #kaspersky hanno rilevato installer sospetti di applicazioni legittime come TeamViewer, VLC Media Player e WinRAR, che contenevano un codice dannoso che non corrispondeva a nessun malware noto. Questo fin quando non è stato individuato un sito web in lingua birmana contenente gli installer infetti e i sample di FinFisher per Android che hanno consentito ai ricercatori di capire che erano stati infettati con lo stesso spyware. Questa scoperta ha poi spinto i ricercatori di #kaspersky ad indagare ulteriormente su FinFisher.
A differenza delle versioni precedenti dello spyware, che contenevano il Trojan nell'applicazione infetta, i nuovi sample erano protetti da due componenti: un Pre-Validator non persistente e un Post-Validator. Il primo componente eseguiva diversi controlli di sicurezza per assicurarsi che il dispositivo da infettare non appartenesse a un ricercatore di sicurezza. Solo dopo aver effettuato questi controlli preliminari, il server eseguiva il Post-Validator che si accertava di aver infettato la vittima prescelta. Solo dopo questi passaggi il server ordina la distribuzione della piattaforma Trojan completa.
FinFisher è offuscato da quattro complessi offuscatori personalizzati, la cui funzione è rallentare l'analisi dello spyware. Inoltre, il Trojan utilizza metodi peculiari per raccogliere informazioni. Ad esempio, all’interno dei browser usa la modalità sviluppatore per intercettare il traffico protetto con protocolli HTTPS.
I ricercatori hanno anche scoperto un campione di FinFisher che ha sostituito il bootloader UEFI di Windows - un componente che lancia il sistema operativo dopo l'avvio del firmware - con uno dannoso. Questo metodo di infezione ha permesso ai criminali informatici di installare un bootkit senza la necessità di bypassare i controlli di sicurezza del firmware. Le infezioni UEFI sono molto rare e generalmente difficili da eseguire, si distinguono per la loro evasività e persistenza. In questo caso gli attaccanti non hanno infettato il firmware UEFI stesso, ma la sua fase di avvio successiva. L'attacco è stato particolarmente furtivo poiché il modulo dannoso era stato installato su una partizione separata ed era in grado di controllare il processo di avvio del dispositivo infetto.
“Il lavoro che è stato fatto per rendere FinFisher inaccessibile ai ricercatori di sicurezza è davvero preoccupante e piuttosto impressionante. Gli sviluppatori hanno lavorato non solo al Trojan stesso, ma anche alla creazione di pesanti misure di offuscamento e anti-analisi per proteggerlo. Di conseguenza, questo spyware è particolarmente difficile da tracciare e rilevare grazie alle sue capacità di eludere qualsiasi indagine e analisi. Il fatto che questo malware venga distribuito con estrema precisione e sia praticamente impossibile da rilevare significa anche che le sue vittime sono particolarmente vulnerabili. Questo costituisce anche una grande sfida per i ricercatori: serve investire una quantità enorme di risorse per districare ogni singolo sample. Credo che minacce complesse come FinFisher dimostrino quanto sia importante la cooperazione e lo scambio di conoscenze tra i ricercatori di sicurezza, nonché l’investimento in nuovi tipi di soluzioni di sicurezza in grado di contrastare queste minacce", ha commentato Igor Kuznetsov, principal security researcher del Global Research and Analysis Team di #kaspersky (GReAT).
Il report completo su FinFisher è disponibile su Securelist.
Per proteggersi da minacce come FinFisher, #kaspersky consiglia di:
Per la protezione aziendale, #kaspersky suggerisce di:
© Copyright 2024