Los investigadores de la Lista segura de Kaspersky acaban de publicar nuevos hallazgos sobre el infame conjunto de herramientas de vigilancia conocido como FinSpy, FinFisher o Wingbird.
Relacionado: Flubot Android Spyware entregado a través de mensajes SMS falsos sobre la entrega de paquetes perdidos
Una mirada más profunda a las capacidades de FinSpy
Los investigadores han estado siguiendo el desarrollo de FinSpy desde 2011, con una inexplicable disminución en su tasa de detección para Windows en 2018. Fue entonces cuando el equipo comenzó a detectar instaladores sospechosos de aplicaciones legítimas., con puerta trasera con un descargador ofuscado relativamente pequeño.
“Durante el transcurso de nuestra investigación, Descubrimos que los instaladores con puerta trasera no son más que implantes de primera etapa que se utilizan para descargar e implementar cargas útiles adicionales antes del troyano FinSpy real.,” el informe señaló.
Además de los instaladores troyanizados, También se observaron infecciones basadas en un bootkit UEFI o MBR. Es de destacar que, mientras que la infección por MBR se conoce desde al menos 2014, Los detalles sobre el kit de arranque UEFI se revelan públicamente en el informe de Secure List por primera vez.. El informe presenta hallazgos nunca antes vistos con respecto al estado de los implantes FinSpy para Windows, Linux, y Mac OS.
Las muestras analizadas están protegidas con múltiples capas de técnicas de evasión., incluido un validador previo que ejecuta controles de seguridad para garantizar que el dispositivo que se va a infectar no pertenece a un investigador de seguridad. Luego, dicho componente descarga una gran cantidad de códigos de shell de seguridad del servidor C2 y los ejecuta. Cada shellcode recopila detalles específicos del sistema, como el nombre del proceso actual, y lo vuelve a subir al servidor. En caso de que falle un cheque, el servidor C2 finaliza el proceso de infección.
La infección de UEFI Bootkit
Los investigadores se encontraron con un Kit de arranque UEFI que estaba cargando FinSpy. “Todas las máquinas infectadas con el kit de arranque UEFI tenían el Administrador de arranque de Windows (Bootmgfw.efi) reemplazado por uno malicioso. Cuando UEFI transfiere la ejecución al cargador malicioso, primero localiza el Administrador de arranque de Windows original.
Se almacena dentro del efi microsoft boot en-us directorio, con el nombre formado por caracteres hexadecimales. Este directorio contiene dos archivos más: el inyector de Winlogon y el cargador de troyanos. Ambos están encriptados con RC4. La clave de descifrado es el GUID de la partición del sistema EFI, que difiere de una máquina a otra,” el informe explicado.
En cuanto a máquinas más antiguas, que no son compatibles con UEFI, pueden infectarse a través del MBR. La infección del modo de usuario, sin embargo, parece ser el más complejo. Estos son los pasos del escenario de ataque.:
- La víctima descarga una aplicación troyana y la ejecuta..
- Durante su curso normal de funcionamiento, la aplicación se conecta a un servidor C2, descarga y luego lanza un componente no persistente llamado Pre-Validator. El prevalidador garantiza que la máquina víctima no se utilice para el análisis de malware..
- El Pre-Validator descarga los Shellcodes de seguridad del servidor C2 y los ejecuta. En total, despliega más de 30 shellcodes. Cada shellcode recopila información específica del sistema (por ejemplo. el nombre del proceso actual) y lo vuelve a subir al servidor.
- En caso de que falle un cheque, el servidor C2 finaliza el proceso de infección. De lo contrario, sigue enviando shellcodes.
- Si pasan todos los controles de seguridad, el servidor proporciona un componente que llamamos Post-Validator. Es un implante persistente que probablemente se usa para garantizar que la víctima sea la prevista.. El posvalidador recopila información que le permite identificar la máquina víctima (Procesos corriendo, documentos abiertos recientemente, capturas de pantalla) y lo envía a un servidor C2 especificado en su configuración.
- Dependiendo de la información recopilada, El servidor C2 puede ordenar al Post-Validator que implemente la plataforma troyana completa o elimine la infección..
macOS / Linux FinSpy Orchestrator
El orquestador de macOS / Linux parece ser una versión simplificada del orquestador de Windows, Lista segura compartida. Estos son los componentes descubiertos en la versión de macOS y Linux.:
- El sistema de archivos virtual (los complementos y las configuraciones se almacenan en archivos separados)
- El ProcessWorm (su funcionalidad está incrustada en complementos)
- El módulo comunicador (el orquestador intercambia datos con servidores C2 sin módulos adicionales)
- El observador de aplicaciones (el orquestador no informa los procesos iniciados o detenidos a los servidores C2)
- Las funcionalidades del orquestador siguen siendo las mismas: intercambiar información con el servidor C2, enviar comandos a complementos y administrar archivos de grabación.
FinSpy es un software espía altamente modular, que tiene mucho trabajo en. Los actores de amenazas detrás de él han hecho todo lo posible para hacerlo inaccesible para los investigadores de seguridad.. Este esfuerzo es preocupante e impresionante. La misma cantidad de esfuerzo se ha puesto en ofuscación, anti-análisis, y el propio troyano.
“El hecho de que este software espía se despliegue con alta precisión y sea prácticamente imposible de analizar también significa que sus víctimas son especialmente vulnerables, y los investigadores enfrentan un desafío especial: tener que invertir una cantidad abrumadora de recursos para desenredar todas y cada una de las muestras.,”Concluyó el informe.
Otro ejemplo de malware UEFI
Hace un año, Kaspersky descubrió un nuevo ataque UEFI, donde una imagen de firmware UEFI comprometida contenía un implante malicioso. Parte de un marco de malware llamado MosaicRegressor, el ataque comprometió a víctimas con vínculos con Corea del Norte entre 2017 y 2019.
Interfase Extensible de Firmware Unificado (UEFI) es una tecnología que conecta el firmware de una computadora a su sistema operativo. El propósito de UEFI es eventualmente reemplazar el BIOS heredado. La tecnología se instala durante la fabricación.. También es el primer programa que se ejecuta cuando se inicia una computadora.. Desafortunadamente, la tecnología se ha convertido en un objetivo de actores malintencionados en "ataques excepcionalmente persistentes,”Como dicen los investigadores de Kaspersky.