Casa > cibernético Notícias > FinSpy Spyware: Quase impossível de analisar e capaz de roubar tudo
CYBER NEWS

FinSpy Spyware: Quase impossível de analisar e capaz de roubar tudo

por   |  Last Update:  |  0 Comentários  

spyware finspy

Os pesquisadores da Lista Segura da Kaspersky acabam de lançar novas descobertas sobre o infame conjunto de ferramentas de vigilância conhecido como FinSpy, FinFisher ou Wingbird.

relacionado: Flubot Android Spyware entregue via mensagens SMS falsas sobre entrega de pacotes perdidos

Analise mais detalhadamente as capacidades do FinSpy

Os pesquisadores têm acompanhado o desenvolvimento do FinSpy desde 2011, com uma diminuição inexplicável em sua taxa de detecção para Windows em 2018. Foi quando a equipe começou a detectar instaladores suspeitos de aplicativos legítimos, backdoor com um downloader ofuscado relativamente pequeno.

“Ao longo de nossa investigação, descobrimos que os instaladores backdoor nada mais são do que implantes de primeiro estágio que são usados ​​para baixar e implantar cargas úteis antes do Trojan FinSpy real,” o relatório observou.

Além dos instaladores trojanizados, infecções baseadas em UEFI ou MBR bootkit também foram observadas. Vale ressaltar que, enquanto a infecção MBR é conhecida desde pelo menos 2014, detalhes sobre o bootkit UEFI são revelados publicamente no relatório da Lista Segura pela primeira vez. O relatório apresenta descobertas nunca vistas antes sobre o estado dos implantes FinSpy para Windows, Linux, e Mac OS.

As amostras analisadas são protegidas com várias camadas de técnicas de evasão, incluindo um pré-validador que executa verificações de segurança para garantir que o dispositivo a ser infectado não pertença a um pesquisador de segurança. O referido componente, então, baixa uma série de códigos de shell de segurança do servidor C2 e os executa. Cada shellcode reúne detalhes específicos do sistema, como o nome do processo atual, e carrega de volta para o servidor. No caso de uma verificação falhar, o servidor C2 encerra o processo de infecção.




A infecção UEFI Bootkit

Os pesquisadores encontraram um UEFI bootkit que estava carregando FinSpy. “Todas as máquinas infectadas com o bootkit UEFI tinham o gerenciador de inicialização do Windows (Bootmgfw.efi) substituído por um malicioso. Quando o UEFI transfere a execução para o carregador malicioso, primeiro localiza o gerenciador de inicialização original do Windows.

Ele é armazenado dentro do efi microsoft boot en-us diretório, com o nome consistindo em caracteres hexadecimais. Este diretório contém mais dois arquivos: o Winlogon Injector e o Trojan Loader. Ambos são criptografados com RC4. A chave de descriptografia é o GUID da partição do sistema EFI, que difere de uma máquina para outra,” o relatório explicou.

Quanto às máquinas mais antigas, que não suportam UEFI, eles podem ser infectados através do MBR. A infecção do modo de usuário, Contudo, parece ser o mais complexo. Aqui estão as etapas do cenário de ataque:

  • A vítima baixa um aplicativo Trojanizado e o executa.
  • Durante seu curso normal de operação, o aplicativo se conecta a um servidor C2, faz o download e, em seguida, inicia um componente não persistente chamado Pré-validador. O pré-validador garante que a máquina da vítima não seja usada para análise de malware.
  • O pré-validador baixa os códigos de shell de segurança do servidor C2 e os executa. No total, ele implanta mais do que 30 códigos de shell. Cada shellcode coleta informações específicas do sistema (por exemplo. o nome do processo atual) e carrega de volta para o servidor.
  • No caso de uma verificação falhar, o servidor C2 encerra o processo de infecção. De outra forma, continua enviando códigos de shell.
  • Se todas as verificações de segurança forem aprovadas, o servidor fornece um componente que chamamos de Post-Validator. É um implante persistente provavelmente usado para garantir que a vítima é a pessoa pretendida. O Pós-Validador coleta informações que permitem identificar a máquina da vítima (processos em execução, documentos recentemente abertos, screenshots) e o envia para um servidor C2 especificado em sua configuração.
  • Dependendo das informações coletadas, o servidor C2 pode comandar o Post-Validator para implantar a plataforma de Trojan completa ou remover a infecção.

MacOS / Linux FinSpy Orchestrator

O orquestrador macOS / Linux parece ser uma versão simplificada do orquestrador do Windows, Lista Segura compartilhada. Estes são os componentes descobertos na versão macOS e Linux:

  • O sistema de arquivos virtual (plugins e configurações são armazenados em arquivos separados)
  • The ProcessWorm (sua funcionalidade está embutida em plug-ins)
  • O módulo comunicador (o orquestrador troca dados com servidores C2 sem módulos adicionais)
  • O observador de aplicativos (o orquestrador não relata processos iniciados ou interrompidos para servidores C2)
  • As funcionalidades do orquestrador permanecem as mesmas: trocando informações com o servidor C2, envio de comandos para plug-ins e gerenciamento de arquivos de gravação.




FinSpy é um spyware altamente modular, que tem muito trabalho colocado em. Os atores da ameaça por trás dele não medem esforços para torná-lo inacessível aos pesquisadores de segurança. Este esforço é preocupante e impressionante. A mesma quantidade de esforço foi colocada na ofuscação, anti-análise, e o próprio trojan.

“O fato de este spyware ser implantado com alta precisão e ser praticamente impossível de analisar também significa que suas vítimas são especialmente vulneráveis, e os pesquisadores enfrentam um desafio especial - ter que investir uma quantidade avassaladora de recursos para desembaraçar cada amostra,”O relatório concluiu.

Outro exemplo de malware UEFI

Um ano atrás, Kaspersky descoberto um novo ataque UEFI, onde uma imagem de firmware UEFI comprometida continha um implante malicioso. Parte de uma estrutura de malware chamada MosaicRegressor, o ataque comprometeu as vítimas com laços com a Coreia do Norte entre 2017 e 2019.

Unified Extensible Firmware Interface (UEFI) é uma tecnologia que conecta o firmware de um computador ao seu sistema operacional. O objetivo da UEFI é, eventualmente, substituir o BIOS legado. A tecnologia é instalada durante a fabricação. É também o primeiro programa executado quando um computador é iniciado. Infelizmente, a tecnologia se tornou um alvo de agentes mal-intencionados em “ataques excepcionalmente persistentes,”Como os pesquisadores da Kaspersky colocaram.

Milena Dimitrova

Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim

mais Posts

Me siga:
Twitter

Postagens relacionadas:
  1. Remover vírus Finspy Mac O que é Finspy Mac? Como eliminar anúncios provenientes de...
  2. UEFI ransomware - Como remover e restaurar arquivos Este artigo foi criado para ajudá-lo a remover Uefi...
  3. Nemesis Bootkit Alvos Dados Financeiros, Opera janelas para o exterior Uma nova técnica rara, usado por um grupo cibercriminoso para...
  4. Novo malware UEFI parte da estrutura maliciosa do MosaicRegressor avançado Pesquisadores de segurança descobriram recentemente um novo ataque UEFI, onde um...
  5. Shows UEFI ransomware Us Que futuro Crypto-Malware poderia ser semelhante Durante o RSA 2017 conferência em que uma demonstração foi executada..
  6. Malware Trends 2018: Como é a ameaça Paisagem Shaping? 2018 já está aqui, e já começou bem forte...
  7. ter cuidado: Spyware PseudoManuscrypt distribuído em software pirata Security researchers detected a new mass malware campaign associated with...
  8. Vulnerabilidades da HP permitem que hackers executem código com privilégios de kernel (CVE-2021-3808) A HP corrigiu duas vulnerabilidades de BIOS de alta gravidade em muitos....

Deixe um comentário

seu endereço de e-mail não será publicado. Campos obrigatórios são marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our Política de Privacidade.
Concordo