Noll
En kampanj som använder en ny variant av regeringen spioneri programvara FinFisher har spridit sig, eventuellt med hjälp av Internet-Leverantörer.
FinFisher, även känd som FinSpy, är en övervakning svit som utvecklats av München-baserade Gamma Group och säljs till kunder regeringen och brottsbekämpning över hela världen.
Malware-som ofta undviker upptäckt av traditionella antivirusprogram — kan användas för att övervaka kommunikation program som Skype, tjuvlyssna på video chattar, logga in samtal, visa och kopiera filer användare och mycket mer.
Gamma Group säger skadlig programvara hjälper till att regeringen brottsbekämpning och underrättelsetjänster för att identifiera, lokalisera och döma grova brottslingar.”
Enligt ESET forskare, en ny kampanj för att sprida skadlig kod har upptäckts i totalt sju länder. I två av dem, Internet Service Providers (Isp) är “sannolikt” att arbeta i samarbete med myndigheter för att infektera mål av intresse med övervakning skadlig kod.
De länder som inte har namngivna på grund av oro för säkerheten.
I ett blogginlägg, den forskargrupp sade att FinFisher har varit sprids genom att man-i-mitten (MiTM) – attacker, som rikta kommunikationen reläer för att manipulera data strömmar, spionera på användarna, och distribuera skadlig kod.
“Vi tror att större internetleverantörer har spelat rollen av mannen i mitten”, sade Filip Kafka, en ESET malware analytiker.
ESET säger den senaste varianten har byggts ut med ett antal förbättringar för att undvika upptäckt och analys. I stället för att lita på falska Flash plugin-program eller äldre infektion tekniker som vattenhål eller spearphishing, FinFisher nu kan infektera system när användare försöker att hämta en populär applikation som WhatsApp, Skype, Avast, WinRAR, eller VLC Player.
Med en framgångsrik MiTM-attack i spelet, målet är omdirigerad till angriparens server, som installerar en skadlig fil som innehåller en Trojan som utnyttjar FinFisher. Men den legitima app är också installerats för att förhindra misstankar.
Dessutom, den senaste versionen av malware använder anpassade koden virtualisering för att skydda majoriteten av dess komponenter, inklusive kernel-mode driver, liksom anti-demontering tricks som hindrar sandlåda, felsökning och emulering — göra jobbet säkerhet analytiker svårt när det kommer till att plocka isär den skadliga koden.
“Under våra utredningar, hittade vi ett antal indikatorer som tyder på omdirigering sker på nivån av en stor internet-leverantör för service,” kommenterade Kafka.
De nya tekniker som har använts “på ISP-nivå” i två länder, medan de övriga fem är fortfarande förlita sig på äldre tekniker.
“Det skulle vara tekniskt möjligt för “man” i dessa ” man-in-the-middle-attacker för att vara belägna på olika platser längs vägen från målet dator till legitima server (t ex nedsatt Wi-Fi-hotspots),” ESET anteckningar. “Men, den geografiska spridningen av ESET: s upptäckt av senaste FinFisher varianter föreslår MitM-angrepp som sker på en högre nivå – en ISP som uppstår som det mest sannolika alternativet.”
Gamma Group erbjuder också en lösning som kallas “FinFly ISP”, som kan installeras på ISP-nät för att distribuera skadlig kod, kan det verkligen vara möjligt att abonnenterna skall placeras vid risk av dessa företag arbetar i samverkan.
“Utbyggnaden av ISP-nivå MitM-attack teknik som nämns i de dokument som läckt ut har aldrig avslöjats — fram tills nu,” säger. “Om du bekräftar, kommer dessa FinFisher kampanjer skulle innebära en mycket sofistikerad och smygande övervakningen projekt utan motstycke i sin kombination av metoder och räckvidd.”
Tidigare och relaterade täckning
I Hacking Team vakna, FinFisher spyware stiger i popularitet med regeringen användare FinFisher spyware anknytning till Indonesiska regeringen fann i Sydney: Rapport Topp gov ‘ t spyware företaget hackade; Gamma FinFisher läckt
Mer säkerhet nyheter
Denna nya app kan upptäcka trådlösa kreditkort fiskknivar på bensinpumpar
1,4 miljoner phishing webbplatser skapas varje månad: Här är vem som bedragare låtsas vara
CCleaner malware operatörer riktade tech företag som Cisco, Microsoft, Samsung
SEK medger dataintrång, tyder på olaglig handel var viktiga
0