Den fryktelige FinSpy -spyware har nå blitt oppgradert for distribusjon i UEFI -oppstartssett.
FinSpy, også kjent som FinFisher/Wingbird, er overvåkingsprogramvare som har blitt oppdaget i naturen siden 2011. Programvarens Windows desktop-baserte implantater ble oppdaget i 2011, og mobile implantater ble oppdaget et år senere.
I 2019 fant Kasperksy -forskere nye, oppgraderte Android- og iOS -prøver, samt tegn på pågående infeksjoner i Myanmar. Den indonesiske regjeringen var også knyttet til spionprogrammets bruk.
På Kaspersky's Security Analyst Summit (SAS) tirsdag sa forskerne Igor Kuznetsov og Georgy Kucherin at deteksjonshastighetene for Windows FinSpy -implantater har falt jevnt de siste tre årene. Imidlertid har programvaren nå blitt oppgradert med nye PC -infeksjonvektorer.
I følge Kaspersky har skadelig programvare flyttet fra distribusjon rent gjennom trojaniserte installatører – normalt sett sammen med legitime applikasjoner – inkludert TeamViewer, VLC og WinRAR. I 2014 la utviklerne til Master Boot Record (MBR) bootkits, som tar sikte på å sikre at ondsinnet kode lastes så tidlig som mulig på en infisert maskin.
Forskerne sier at nå har Unified Extensible Firmware Interface (UEFI) bootkits også blitt lagt til FinSpys arsenal.
Skadelig programvare vil imidlertid sjekke om det finnes en virtuell maskin (VM), og hvis den blir funnet, leveres bare shellcode, sannsynligvis i et forsøk på å unngå reverse engineering -forsøk.
UEFI -systemer er kritiske for datasystemer, ettersom de har en hånd i å laste inn operativsystemer. FinSpy er ikke den eneste skadelige programvaren som målretter mot dette maskinelementet, med LoJax og MosaicRegressor også som gode eksempler.
Kucherin sa imidlertid at FinSpy bootkit var “ikke gjennomsnittet vi normalt ser”, og alt som var nødvendig for å installere det var administratorrettigheter.
Et eksempel på et UEFI -oppstartssett som lastet FinSpy ga teamet ledetråder til funksjonaliteten. Windows Boot Manager (bootmgfw.efi) ble erstattet med en ondsinnet variant, og når de var lastet inn, ble to krypterte filer også utløst, en Winlogon Injector og Trojanens hovedlaster.
FinSpys nyttelast er kryptert, og når en bruker logger seg på, injiseres lasteren i winlogon.exe, noe som fører til dekryptering og ekstraksjon av trojaneren.
Hvis en målmaskin er for gammel til å støtte UEFI, betyr det ikke at den er trygg for infeksjon. I stedet vil FinSpy målrette systemet via MBR. Det er mulig for skadelig programvare å treffe 32-biters maskiner.
Spionprogrammet er i stand til å fange og eksfiltrere en lang rekke data fra en infisert PC, inkludert lokalt lagrede medier, OS -informasjon, nettleser og virtuelle private nettverk (VPN) legitimasjon, Microsoft -produktnøkler, søkehistorikk, Wi-Fi-passord, SSL-nøkler, Skype-opptak og mer.
På mobil vil FinSpy målrette mot kontaktlister, SMS -meldinger, filer i minnet, e -postinnhold og GPS -posisjonskoordinater. I tillegg kan skadelig programvare overvåke Voice over IP (VoIP) kommunikasjon og er i stand til å rifle gjennom innhold som utveksles via apper, inkludert Facebook Messenger, Signal, Skype, WhatsApp og WeChat.
MacOS -versjonen av FinSpy inneholder bare ett installasjonsprogram – og det samme gjelder for Linux -versjonen. I sistnevnte tilfelle er imidlertid infeksjonvektoren som ble brukt til å levere FinSpy foreløpig ukjent, selv om det er mistanke om at fysisk tilgang kan være nødvendig.
Den siste undersøkelsen av FinSpy tok åtte måneder. Ifølge Kuznetsov er det sannsynlig at operatørene “vil fortsette å oppgradere infrastrukturen hele tiden” i det som vil være en “uendelig historie.”
Tidligere og tilhørende dekning
Nye versjoner av FinFisher mobilspyware oppdaget i Myanmar
Hvordan finne og fjerne spionprogrammer fra telefonen
NSO Groups Pegasus -spyware som brukes mot journalister, politiske aktivister over hele verden
Har du et tips? Få kontakt trygt via WhatsApp | Signal på +447713 025 499, eller over på Keybase: charlie0
Relaterte emner:
Sikkerhet TV Datahåndtering CXO datasentre 