Casa > Cyber ​​Notizie > Spyware FinSpy: Quasi impossibile da analizzare e in grado di rubare tutto
CYBER NEWS

Spyware FinSpy: Quasi impossibile da analizzare e in grado di rubare tutto

spyware finto

I ricercatori di Secure List di Kaspersky hanno appena rilasciato nuove scoperte riguardanti il ​​famigerato set di strumenti di sorveglianza noto come FinSpy, FinFisher o Wingbird.

Correlata: Flubot Spyware Android fornito tramite falsi messaggi SMS sulla mancata consegna del pacchetto

Approfondimento sulle capacità di FinSpy

I ricercatori hanno seguito lo sviluppo di FinSpy da 2011, con un'inspiegabile diminuzione del suo tasso di rilevamento per Windows in 2018. Questo è quando il team ha iniziato a rilevare installatori sospetti di applicazioni legittime, backdoor con un downloader offuscato relativamente piccolo.

“Nel corso della nostra indagine, abbiamo scoperto che i programmi di installazione backdoor non sono altro che impianti di prima fase che vengono utilizzati per scaricare e distribuire ulteriori payload prima dell'effettivo Trojan FinSpy,” il rapporto osserva.

Oltre agli installatori trojanizzati, sono state osservate anche infezioni basate su un bootkit UEFI o MBR. E 'degno di nota, mentre l'infezione da MBR è nota almeno dal 2014, i dettagli sul bootkit UEFI sono rivelati pubblicamente nel rapporto di Secure List per la prima volta. Il rapporto presenta risultati mai visti prima sullo stato degli impianti FinSpy per Windows, Linux, e Mac OS.

I campioni analizzati sono protetti con più livelli di tecniche di evasione, incluso un pre-validatore che esegue controlli di sicurezza per garantire che il dispositivo da infettare non appartenga a un ricercatore di sicurezza. Il suddetto componente scarica quindi una serie di shellcode di sicurezza dal server C2 e li esegue. Ogni shellcode raccoglie dettagli di sistema specifici, come il nome del processo corrente, e lo carica di nuovo sul server. Nel caso in cui un controllo non vada a buon fine, il server C2 termina il processo di infezione.




L'infezione del bootkit UEFI

I ricercatori si sono imbattuti in un Kit di avvio UEFI che stava caricando FinSpy. “Tutte le macchine infette dal bootkit UEFI avevano il Boot Manager di Windows (Bootmgfw.efi) sostituito con uno malizioso. Quando l'UEFI trasferisce l'esecuzione al caricatore dannoso, individua prima il Boot Manager di Windows originale.

È memorizzato all'interno del efi microsoft boot it-us elenco, con il nome composto da caratteri esadecimali. Questa directory contiene altri due file: il Winlogon Injector e il Trojan Loader. Entrambi sono crittografati con RC4. La chiave di decrittazione è il GUID della partizione di sistema EFI, che differisce da una macchina all'altra,” il rapporto ha spiegato.

Per quanto riguarda le macchine più vecchie, che non supportano UEFI, possono essere infettati attraverso l'MBR. L'infezione in modalità utente, tuttavia, sembra essere il più complesso. Ecco i passaggi dello scenario di attacco:

  • La vittima scarica un'applicazione trojan e la esegue.
  • Durante il suo normale funzionamento l'applicazione si connette a un server C2, scarica e quindi avvia un componente non persistente chiamato Pre-Validator. Il Pre-Validator assicura che la macchina vittima non venga utilizzata per l'analisi del malware.
  • Il Pre-Validator scarica i Security Shellcode dal server C2 e li esegue. In totale, distribuisce più di 30 shellcode. Ogni shellcode raccoglie informazioni di sistema specifiche (e.g. il nome del processo corrente) e lo carica di nuovo sul server.
  • Nel caso in cui un controllo non vada a buon fine, il server C2 termina il processo di infezione. Altrimenti, continua a inviare shellcode.
  • Se tutti i controlli di sicurezza passano, il server fornisce un componente che chiamiamo Post-Validator. È un impianto persistente probabilmente utilizzato per garantire che la vittima sia quella designata. Il Post-Validator raccoglie informazioni che gli consentono di identificare la macchina vittima (i processi in esecuzione, documenti aperti di recente, screenshot) e lo invia a un server C2 specificato nella sua configurazione.
  • A seconda delle informazioni raccolte, il server C2 può comandare al Post-Validator di distribuire la piattaforma Trojan completa o rimuovere l'infezione.

MacOS/Linux FinSpy Orchestrator

L'orchestratore di macOS/Linux sembra essere una versione semplificata dell'orchestratore di Windows, Lista sicura condivisa. Questi sono i componenti scoperti nella versione macOS e Linux:

  • Il file system virtuale (i plugin e le configurazioni sono archiviati in file separati)
  • Il ProcessWorm (la sua funzionalità è incorporata nei plugin)
  • Il modulo comunicatore (l'orchestrator scambia dati con i server C2 senza moduli aggiuntivi)
  • L'osservatore dell'applicazione (l'orchestrator non segnala i processi avviati o arrestati ai server C2)
  • Le funzionalità dell'orchestrator rimangono le stesse: scambiare informazioni con il server C2, inviare comandi ai plugin e gestire i file di registrazione.




FinSpy è uno spyware altamente modulare, che ha molto lavoro da fare in. Gli attori delle minacce dietro di esso hanno fatto di tutto per renderlo inaccessibile ai ricercatori della sicurezza. Questo sforzo è sia preoccupante che impressionante. La stessa quantità di sforzi è stata messa in ombra, anti-analisi, e il trojan stesso.

"Il fatto che questo spyware sia distribuito con alta precisione ed è praticamente impossibile da analizzare significa anche che le sue vittime sono particolarmente vulnerabili, e i ricercatori affrontano una sfida speciale: dover investire una quantità enorme di risorse per districare ogni singolo campione,"Conclude il rapporto.

Un altro esempio di malware UEFI

Un anno fa, Kaspersky ha scoperto un nuovo attacco UEFI, dove un'immagine del firmware UEFI compromessa conteneva un impianto dannoso. Parte di un framework malware chiamato MosaicRegressor, l'attacco ha compromesso le vittime con legami con la Corea del Nord 2017 e 2019.

Unified Extensible Firmware Interface (UEFI) è una tecnologia che collega il firmware di un computer al suo sistema operativo. Lo scopo di UEFI è eventualmente sostituire il BIOS legacy. La tecnologia viene installata durante la produzione. È anche il primo programma in esecuzione all'avvio di un computer. Sfortunatamente, la tecnologia è diventata un obiettivo di attori malintenzionati in "attacchi eccezionalmente persistenti","Come hanno affermato i ricercatori di Kaspersky.

Milena Dimitrova

Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim

Altri messaggi

Seguimi:
Cinguettio

Lascio un commento

Il tuo indirizzo email non verrà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito utilizza i cookie per migliorare l'esperienza dell'utente. Utilizzando il nostro sito web acconsenti a tutti i cookie in conformità con la ns politica sulla riservatezza.
Sono d'accordo