Accueil > Nouvelles Cyber > Logiciel espion FinSpy: Presque impossible à analyser et capable de tout voler
CYBER NOUVELLES

Logiciel espion FinSpy: Presque impossible à analyser et capable de tout voler

par   |  Last Update:  |  0 Commentaires  

logiciel espion finpy

Les chercheurs de la Secure List de Kaspersky viennent de publier de nouvelles découvertes concernant le tristement célèbre ensemble d'outils de surveillance connu sous le nom de FinSpy, FinFisher ou Wingbird.

en relation: Flubot Android Spyware livré via de faux SMS concernant la livraison de colis manquée

Examen plus approfondi des capacités de FinSpy

Les chercheurs suivent le développement de FinSpy depuis 2011, avec une baisse inexplicable de son taux de détection pour Windows en 2018. C'est à ce moment que l'équipe a commencé à détecter les installateurs suspects d'applications légitimes, backdoor avec un téléchargeur obscurci relativement petit.

“Au cours de notre enquête, nous avons découvert que les installateurs dérobés ne sont rien de plus que des implants de première étape qui sont utilisés pour télécharger et déployer d'autres charges utiles avant le véritable cheval de Troie FinSpy,” le rapport note.

En plus des installateurs trojanisés, des infections basées sur un bootkit UEFI ou MBR ont également été observées. Il est à noter que, alors que l'infection MBR est connue depuis au moins 2014, les détails sur le bootkit UEFI sont révélés publiquement dans le rapport de Secure List pour la première fois. Le rapport présente des résultats jamais vus auparavant concernant l'état des implants FinSpy pour Windows, Linux, et macOS.

Les échantillons analysés sont protégés par plusieurs couches de techniques d'évasion, y compris un pré-validateur qui exécute des contrôles de sécurité pour s'assurer que l'appareil à infecter n'appartient pas à un chercheur en sécurité. Ledit composant télécharge ensuite une multitude de shellcodes de sécurité depuis le serveur C2 et les exécute. Chaque shellcode rassemble des détails système spécifiques, comme le nom du processus actuel, et le télécharge sur le serveur. En cas d'échec d'un contrôle, le serveur C2 met fin au processus d'infection.




L'infection du kit de démarrage UEFI

Les chercheurs sont tombés sur un Kit de démarrage UEFI qui chargeait FinSpy. “Toutes les machines infectées par le bootkit UEFI avaient le gestionnaire de démarrage Windows (Bootmgfw.efi) remplacé par un malveillant. Lorsque l'UEFI transfère l'exécution au chargeur malveillant, il localise d'abord le gestionnaire de démarrage Windows d'origine.

Il est stocké à l'intérieur du efimicrosoftbooten-us annuaire, avec le nom composé de caractères hexadécimaux. Ce répertoire contient deux autres fichiers: l'injecteur Winlogon et le chargeur de chevaux de Troie. Les deux sont cryptés avec RC4. La clé de déchiffrement est le GUID de la partition système EFI, qui diffère d'une machine à l'autre,” le rapport a expliqué.

Quant aux machines plus anciennes, qui ne prennent pas en charge UEFI, ils peuvent être infectés par le MBR. L'infection en mode utilisateur, cependant, semble être le plus complexe. Voici les étapes du scénario d'attaque:

  • La victime télécharge une application cheval de Troie et l'exécute.
  • Au cours de son fonctionnement normal, l'application se connecte à un serveur C2, télécharge puis lance un composant non persistant appelé le pré-validateur. Le pré-validateur garantit que la machine victime n'est pas utilisée pour l'analyse des logiciels malveillants.
  • Le pré-validateur télécharge les Security Shellcodes du serveur C2 et les exécute. Au total, il déploie plus de 30 shellcodes. Chaque shellcode collecte des informations système spécifiques (e.g. le nom du processus actuel) et le télécharge sur le serveur.
  • En cas d'échec d'un contrôle, le serveur C2 met fin au processus d'infection. Autrement, il continue d'envoyer des shellcodes.
  • Si tous les contrôles de sécurité réussissent, le serveur fournit un composant que nous appelons le Post-Validator. Il s'agit d'un implant persistant probablement utilisé pour s'assurer que la victime est la victime visée. Le Post-Validator collecte des informations qui lui permettent d'identifier la machine victime (processus en cours d'exécution, documents récemment ouverts, captures d'écran) et l'envoie à un serveur C2 spécifié dans sa configuration.
  • En fonction des informations recueillies, le serveur C2 peut ordonner au post-validateur de déployer la plate-forme cheval de Troie à part entière ou de supprimer l'infection.

MacOS/Linux FinSpy Orchestrator

L'orchestrateur macOS/Linux semble être une version simplifiée de l'orchestrateur Windows, Liste sécurisée partagée. Ce sont les composants découverts dans la version macOS et Linux:

  • Le système de fichiers virtuel (les plugins et les configurations sont stockés dans des fichiers séparés)
  • Le ver de processus (sa fonctionnalité est intégrée dans des plugins)
  • Le module de communication (l'orchestrateur échange des données avec les serveurs C2 sans modules supplémentaires)
  • L'observateur d'applications (l'orchestrateur ne signale pas les processus démarrés ou arrêtés aux serveurs C2)
  • Les fonctionnalités de l'orchestrateur restent les mêmes: échange d'informations avec le serveur C2, envoi de commandes aux plugins et gestion des fichiers d'enregistrement.




FinSpy est un logiciel espion hautement modulaire, qui a beaucoup de travail à faire. Les acteurs de la menace qui se cachent derrière ont fait des efforts extrêmes pour le rendre inaccessible aux chercheurs en sécurité. Cet effort est à la fois inquiétant et impressionnant. La même quantité d'efforts a été mise dans l'obscurcissement, anti-analyse, et le cheval de Troie lui-même.

« Le fait que ce logiciel espion soit déployé avec une grande précision et qu'il soit pratiquement impossible à analyser signifie également que ses victimes sont particulièrement vulnérables., et les chercheurs sont confrontés à un défi particulier : devoir investir une quantité écrasante de ressources pour démêler chaque échantillon,»Le rapport conclut.

Un autre exemple de malware UEFI

Il y a un an, Kaspersky découvert une nouvelle attaque UEFI, où une image de micrologiciel UEFI compromise contenait un implant malveillant. Partie d'un framework de malware appelé MosaicRegressor, l'attaque a compromis les victimes ayant des liens avec la Corée du Nord entre 2017 et 2019.

Unified Extensible Firmware Interface (UEFI) est une technologie qui connecte le micrologiciel d’un ordinateur à son système d’exploitation. Le but de l'UEFI est de remplacer à terme le BIOS hérité. La technologie est installée lors de la fabrication. C'est également le premier programme en cours d'exécution lorsqu'un ordinateur est démarré. Malheureusement, la technologie est devenue la cible d'acteurs malveillants dans « des attaques exceptionnellement persistantes,»Comme l'ont dit les chercheurs de Kaspersky.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Articles Similaires:
  1. Supprimer Finspy Mac Virus Qu'est-ce que Finspy Mac? How to eliminate ads coming from...
  2. UEFI Ransomware - Comment faire pour supprimer et restaurer des fichiers This article has been created to help you remove Uefi...
  3. Nemesis Bootkit Cibles Données financières, Fonctionne Windows à l'extérieur Une nouvelle technique rare, utilisé par un groupe cybercriminel pour...
  4. Nouveau logiciel malveillant UEFI faisant partie du cadre malveillant avancé MosaicRegressor Des chercheurs en sécurité ont récemment découvert une nouvelle attaque UEFI, where a...
  5. UEFI Ransomware nous montre quel avenir Crypto-Malware pourrait ressembler Au cours de la RSA 2017 conference a demo was ran of...
  6. Malware Trends 2018: Comment est la menace du paysage Mise en forme? 2018 est déjà là, and it has started pretty strong...
  7. Il faut se méfier: PseudoManuscrypt Spyware distribué dans un logiciel piraté Security researchers detected a new mass malware campaign associated with...
  8. Les vulnérabilités HP permettent aux pirates d'exécuter du code avec les privilèges du noyau (CVE-2021-3808) HP has fixed two high-severity BIOS vulnerabilities in many of...

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our politique de confidentialité.
Je suis d'accord