Den frygtelige FinSpy -spyware er nu blevet opgraderet til implementering inden for UEFI -bootkits.
FinSpy, også kendt som FinFisher/Wingbird, er overvågningsprogram, der er blevet opdaget i naturen siden 2011. Softwarens Windows desktop-baserede implantater blev opdaget i 2011, og mobile implantater blev opdaget et år senere.
I 2019 fandt Kasperksy -forskere nye, opgraderede Android- og iOS -prøver samt tegn på igangværende infektioner i Myanmar. Den indonesiske regering var også forbundet med spywares brug.
På Kasperskys Security Analyst Summit (SAS) tirsdag sagde forskerne Igor Kuznetsov og Georgy Kucherin, at detektionshastighederne for Windows FinSpy -implantater er faldet støt i løbet af de sidste tre år. Imidlertid er softwaren nu blevet opgraderet med nye pc -infektionsvektorer.
Ifølge Kaspersky er malware flyttet fra implementering udelukkende gennem trojaniserede installatører – normalt samlet med legitime applikationer – herunder TeamViewer, VLC og WinRAR. I 2014 tilføjede dets udviklere Master Boot Record (MBR) bootkits, der har til formål at sikre, at ondsindet kode indlæses hurtigst muligt på en inficeret maskine.
Forskerne siger, at nu er Unified Extensible Firmware Interface (UEFI) bootkits også blevet føjet til FinSpys arsenal.
Malwaren vil imidlertid kontrollere, om der findes en virtuel maskine (VM), og hvis den findes, leveres der kun shellcode, sandsynligvis i et forsøg på at undgå reverse engineering -forsøg.
UEFI -systemer er kritiske for computersystemer, da de har en hånd i indlæsning af operativsystemer. FinSpy er ikke den eneste malware, der målretter mod dette maskinelement, idet LoJax og MosaicRegressor også er gode eksempler.
Kucherin sagde imidlertid, at FinSpy bootkit ikke var “det gennemsnit, vi normalt ser”, og alt, hvad der var nødvendigt for at installere det, var administratorrettigheder.
En prøve af et UEFI -bootkit, der indlæste FinSpy, gav teamet spor om dets funktionalitet. Windows Boot Manager (bootmgfw.efi) blev erstattet med en ondsindet variant, og når de var indlæst, blev to krypterede filer også udløst, en Winlogon Injector og den trojanske hovedlæsser.
FinSpys nyttelast er krypteret, og når en bruger logger på, injiceres læsseren i winlogon.exe, hvilket fører til dekryptering og ekstraktion af trojaneren.
Hvis en målmaskine er for gammel til at understøtte UEFI, betyder det ikke, at den er sikker mod infektion. I stedet vil FinSpy målrette systemet mod MBR. Det er muligt for malware at ramme 32-bit maskiner.
Spyware er i stand til at fange og eksfiltrere en lang række data fra en inficeret pc, herunder lokalt lagrede medier, OS -oplysninger, browser og virtuelle private netværk (VPN) legitimationsoplysninger, Microsoft -produktnøgler, søgehistorik, Wi-Fi-adgangskoder, SSL-nøgler, Skype-optagelser og mere.
På mobilen målretter FinSpy kontaktlister, SMS -beskeder, filer i hukommelsen, e -mailindhold og GPS -stedskoordinater. Desuden kan malware overvåge Voice over IP (VoIP) kommunikation og er i stand til at rifle gennem indhold, der udveksles via apps, herunder Facebook Messenger, Signal, Skype, WhatsApp og WeChat.
MacOS -versionen af FinSpy indeholder kun et installationsprogram – og det samme gælder for Linux -versionen. Men i sidstnævnte tilfælde er infektionsvektoren, der bruges til at levere FinSpy, i øjeblikket ukendt, selv om det er mistanke om, at fysisk adgang kan være påkrævet.
Den seneste undersøgelse af FinSpy tog otte måneder. Ifølge Kuznetsov er det sandsynligt, at operatørerne “vil blive ved med at opgradere deres infrastruktur hele tiden” i en “uendelig historie”.
Tidligere og relateret dækning
Nye versioner af FinFisher mobile spyware opdaget i Myanmar
Sådan finder og fjerner du spyware fra din telefon
NSO Groups Pegasus -spyware, der bruges mod journalister, politiske aktivister verden over
Har du et tip? Få kontakt sikkert via WhatsApp | Signal på +447713 025 499 eller derover på Keybase: charlie0
Relaterede emner:
Security TV Data Management CXO Data Centers 