Den otrevliga FinSpy -spionprogrammet har nu uppgraderats för distribution inom UEFI -startpaket.
FinSpy, även känd som FinFisher/Wingbird, är övervakningsprogram som har upptäckts i naturen sedan dess 2011. Programvarans Windows skrivbordsbaserade implantat upptäcktes 2011 och mobila implantat upptäcktes ett år senare.
År 2019 hittade Kasperksy -forskare nya, uppgraderade Android- och iOS -prover samt tecken på pågående infektioner i Myanmar. Den indonesiska regeringen var också kopplad till spionprogrammets användning.
Vid Kasperskys Security Analyst Summit (SAS) på tisdagen sa forskarna Igor Kuznetsov och Georgy Kucherin att detekteringsgraden för Windows FinSpy -implantat har minskat stadigt under de senaste tre åren. Men nu har mjukvaran uppgraderats med nya PC -infektionsvektorer.
Enligt Kaspersky har skadlig programvara gått vidare från distributionen enbart genom trojaniserade installatörer – normalt tillsammans med legitima applikationer – inklusive TeamViewer, VLC och WinRAR. Under 2014 lade dess utvecklare till bootkits för Master Boot Record (MBR), som syftar till att säkerställa att skadlig kod laddas så snart som möjligt på en infekterad dator.
Forskarna säger att nu har Unified Extensible Firmware Interface (UEFI) bootkits också lagts till i FinSpys arsenal.
Skadlig programvara kommer dock att kontrollera om det finns en virtuell dator (VM), och om den hittas levereras endast skalkod, troligtvis i ett försök att undvika omvända försök.
UEFI -system är avgörande för datorsystem eftersom de har en hand att ladda operativsystem. FinSpy är inte den enda skadliga programvaran som riktar sig mot detta maskinelement, med LoJax och MosaicRegressor också som utmärkta exempel.
Kucherin sa dock att FinSpy -bootkiten inte var “det genomsnitt vi normalt ser” och allt som var nödvändigt för att installera det var administratörsrättigheter.
Ett exempel på en UEFI -bootkit som laddade FinSpy gav teamet ledtrådar till dess funktionalitet. Windows Boot Manager (bootmgfw.efi) ersattes med en skadlig variant, och när de var laddade utlöstes också två krypterade filer, en Winlogon Injector och trojanens huvudlastare.
FinSpys nyttolast är krypterad och när en användare loggar in injiceras lastaren i winlogon.exe, vilket leder till dekryptering och extrahering av trojanen.
Om en målmaskin är för gammal för att stödja UEFI betyder det inte att den är säker från infektion. Istället riktar FinSpy in systemet via MBR. Det är möjligt för skadlig programvara att slå 32-bitars maskiner.
Spionprogrammet kan fånga och exfiltrera en mängd olika data från en infekterad dator, inklusive lokalt lagrade medier, OS -information, webbläsare och virtuella privata nätverk (VPN), Microsoft -produktnycklar, sökhistorik, Wi-Fi-lösenord, SSL-nycklar, Skype-inspelningar och mer.
På mobilen kommer FinSpy att rikta in kontaktlistor, SMS -meddelanden, filer i minnet, e -postinnehåll och GPS -platskoordinater. Dessutom kan skadlig programvara övervaka Voice over IP -kommunikation (VoIP) och kan sprida innehåll som utbyts via appar inklusive Facebook Messenger, Signal, Skype, WhatsApp och WeChat.
MacOS -versionen av FinSpy innehåller bara ett installationsprogram – och samma sak gäller Linux -versionen. Men i det senare fallet är infektionsvektorn som används för att leverera FinSpy för närvarande okänd, även om det misstänks att fysisk åtkomst kan krävas.
Den senaste undersökningen av FinSpy tog åtta månader. Enligt Kuznetsov är det troligt att operatörerna “kommer att fortsätta uppgradera sin infrastruktur hela tiden” i vad som kommer att vara en “oändlig historia.”
Tidigare och relaterad täckning
Nya versioner av FinFishers mobila spionprogram upptäcktes i Myanmar
Hur hittar och tar man bort spionprogram från telefonen
NSO Groups Pegasus -spionprogram som används mot journalister, politiska aktivister över hela världen
Har du ett tips? Få kontakta säkert via WhatsApp | Signal på +447713 025 499 eller senare på Keybase: charlie0
Relaterade ämnen:
Security TV Data Management CXO Data Centers 