De snode FinSpy-spyware is nu geüpgraded voor gebruik in UEFI-bootkits.
FinSpy, ook bekend als FinFisher/Wingbird, is surveillanceware die sindsdien in het wild is gedetecteerd. 2011. De op Windows desktop gebaseerde implantaten van de software werden ontdekt in 2011 en mobiele implantaten werden een jaar later ontdekt.
In 2019 vonden onderzoekers van Kasperksy nieuwe, verbeterde Android- en iOS-samples, evenals tekenen van aanhoudende infecties in Myanmar. Ook de Indonesische overheid was betrokken bij het gebruik van de spyware.
Tijdens Kaspersky's Security Analyst Summit (SAS) op dinsdag zeiden onderzoekers Igor Kuznetsov en Georgy Kucherin dat de detectiepercentages voor Windows FinSpy-implantaten de afgelopen drie jaar gestaag zijn afgenomen. De software is nu echter geüpgraded met nieuwe pc-infectievectoren.
Volgens Kaspersky is de malware verder gegaan van de implementatie via trojan-installatieprogramma's – normaal gesproken gebundeld met legitieme applicaties – waaronder TeamViewer, VLC en WinRAR. In 2014 hebben de ontwikkelaars Master Boot Record (MBR)-bootkits toegevoegd, die ervoor moeten zorgen dat kwaadaardige code zo snel mogelijk op een geïnfecteerde machine wordt geladen.
De onderzoekers zeggen dat er nu Unified Extensible Firmware Interface (UEFI)-bootkits zijn toegevoegd aan het arsenaal van FinSpy.
De malware zal echter controleren op de aanwezigheid van een virtuele machine (VM), en indien gevonden, wordt alleen shellcode geleverd, waarschijnlijk in een poging om reverse engineering-pogingen te voorkomen.
UEFI-systemen zijn van cruciaal belang voor computersystemen omdat ze een rol spelen bij het laden van besturingssystemen. FinSpy is niet de enige malware die zich op dit machine-element richt, waarbij LoJax en MosaicRegressor ook uitstekende voorbeelden zijn.
Kucherin zei echter dat de FinSpy-bootkit “niet het gemiddelde was dat we normaal zien” en het enige dat nodig was om het te installeren waren beheerdersrechten.
Een voorbeeld van een UEFI-bootkit die FinSpy laadde, gaf het team aanwijzingen over de functionaliteit ervan. De Windows Boot Manager (bootmgfw.efi) werd vervangen door een kwaadaardige variant, en eenmaal geladen werden ook twee versleutelde bestanden geactiveerd, een Winlogon Injector en de hoofdlader van de Trojan.
FinSpy's payload is gecodeerd en zodra een gebruiker zich aanmeldt, wordt de loader geïnjecteerd in winlogon.exe, wat leidt tot de decodering en extractie van de Trojan.
Als een doelmachine te oud is om UEFI te ondersteunen, betekent dit niet dat deze veilig is voor infectie. In plaats daarvan zal FinSpy het systeem via de MBR targeten. Het is mogelijk dat de malware 32-bits machines treft.
De spyware kan een grote verscheidenheid aan gegevens van een geïnfecteerde pc vastleggen en exfiltreren, waaronder lokaal opgeslagen media, informatie over het besturingssysteem, browser- en VPN-gegevens (virtual private network), Microsoft-productsleutels, zoekgeschiedenis, Wi-Fi-wachtwoorden, SSL-sleutels, Skype-opnamen en meer.
Op mobiel richt FinSpy zich op contactlijsten, sms-berichten, bestanden in het geheugen, e-mailinhoud en GPS-locatiecoördinaten. Bovendien kan de malware Voice over IP (VoIP)-communicatie monitoren en kan het door inhoud sluipen die wordt uitgewisseld via apps zoals Facebook Messenger, Signal, Skype, WhatsApp en WeChat.
De macOS-versie van FinSpy bevat slechts één installatieprogramma — en hetzelfde geldt voor de Linux-versie. In het laatste geval is de infectievector die wordt gebruikt om FinSpy af te leveren momenteel echter onbekend, hoewel wordt vermoed dat fysieke toegang nodig is.
Het laatste onderzoek naar FinSpy duurde acht maanden. Volgens Kuznetsov is het waarschijnlijk dat de operators “hun infrastructuur voortdurend zullen upgraden” in wat een “oneindig verhaal” zal zijn.
Eerdere en gerelateerde berichtgeving
Nieuwe versies van FinFisher mobiele spyware ontdekt in Myanmar
Spyware vinden en verwijderen van uw telefoon
Pegasus-spyware van NSO Group gebruikt tegen journalisten, politieke activisten over de hele wereld
Heb je een tip? Ontvang veilig in contact via WhatsApp | Signaal op +447713 025 499, of via Keybase: charlie0
Verwante onderwerpen:
Beveiliging TV-gegevensbeheer CXO-datacenters 