Se encontró una notoria herramienta de software program espía escondida debajo de cuatro capas de ofuscación



FinFisher / FinSpy, el infame y muy controvertido computer software espía comercial vendido por la empresa alemana FinFisher a los estados nacionales y a las fuerzas del orden público con fines de vigilancia, ahora se envuelve en cuatro capas de ofuscación y otros métodos de detección y evasión para eludir el descubrimiento y el análisis.

Los investigadores de la firma de seguridad Kaspersky, con sede en Moscú, necesitaron ocho meses de análisis e ingeniería inversa a tiempo completo para descubrir esta nueva versión extremely-sigilosa del software program espía para Windows, Mac OS y Linux. Además de un método de ofuscación de cuatro capas, el program espía ahora también emplea un package de arranque UEFI (Interfaz de firmware extensible unificada) para infectar sus objetivos, y también cifra el malware en la memoria, según los investigadores. La investigación del equipo de Kaspersky comenzó en 2019 y finalmente comparte sus hallazgos hoy en la Cumbre de analistas de seguridad en línea de Kaspersky.

«Este fue uno de los casos más complicados para nosotros como investigadores», dice Igor Kuznetsov, investigador principal de seguridad del Equipo de Análisis e Investigación World de Kaspersky (Good). «Hicieron un gran esfuerzo solo para ocultar todo, incluso de las actividades forenses».

Los investigadores habían encontrado previamente instaladores maliciosos para TeamViewer, VLC Media Participant y WinRAR que no tenían vínculos a ningún malware conocido. Pero cuando encontraron un sitio net en birmano con esos mismos instaladores, así como muestras de FinFisher para Android, volvieron a los instaladores anteriores y conectaron los puntos a FinFisher / FinSpy.

Sus hallazgos también arrojan nueva luz sobre la sabiduría convencional de que FinFisher se había apagado por un tiempo a partir de 2018. Es posible que los ataques de application espía estuvieran vivos y bien todo este tiempo, pero simplemente no visibles debido a los complejos métodos de ofuscación, los investigadores. decir.

Las operaciones de FinFisher han estado bajo escrutinio durante mucho tiempo, incluso por Amnistía Internacional. Se ha descubierto que el software package espía está dirigido a activistas, periodistas y disidentes de todo el mundo.

La nueva versión del program espía muestra las medidas extremas que han tomado sus desarrolladores para mantenerlo invisible a la detección e inspección: primero emplea un componente de prevalidación para confirmar que el dispositivo objetivo no pertenece a un investigador de seguridad. Si no es así, el validador posterior confirma que la máquina infectada pertenece a la víctima objetivo si lo hace, el servidor de malware instala la plataforma de software espía troyano.

El software espía recopila información de la máquina infectada (credenciales, listas de archivos, archivos eliminados, documentos, transmisión en vivo o datos de grabación, y acceso a la cámara world-wide-web y al micrófono) y emplea el «modo de desarrollador» del navegador para secuestrar e interceptar el tráfico HTTPS que va y viene. la máquina.

«Se supone que uno de los complementos que recopilan comunicaciones cifradas roba todas las claves de cifrado del usuario para poder descifrar todo el tráfico», explica Kuznetsov. El modo de desarrollador les permite forzar al navegador a escribir todas las claves en el disco para el uso de los atacantes, dice.

Y la mayor parte del malware en sí, que se ejecuta en la memoria, está encriptado.

«Sólo una pequeña [piece of the malware] in the very clear se ejecuta «, dice.» Por lo tanto, incluso si un experto forense crea una imagen de memoria en vivo, es casi imposible encontrar el malware. Cada página estará encriptada y solo hay un módulo responsable de encriptar y desencriptar todas estas páginas «.

Lo que es especialmente inusual con esta última versión de FinFisher / FinSpy, señala Kuznetsov, es que utiliza ofuscación multicapa, cifrado y una gran cantidad de código en su plataforma.

«Generalmente [with malware attacks] O tenemos mucha ofuscación y poca lógica de negocios, o tenemos un gran código empresarial con una infraestructura enorme pero que no está ofuscada «, dice.» Administrar tanto la ofuscación como el cifrado, y mantener esa cantidad de código es realmente complicado. «

Los investigadores de Kaspersky dicen que no pueden hablar sobre las víctimas cuyas infecciones investigaron. Tampoco especularían sobre quién estaba detrás de los ataques o qué perseguían específicamente, pero estaba claro que los ataques tenían que ver con la víctima objetivo.

«No se trata de un movimiento lateral», dice Kuznetsov. «Se trata solo del usuario de la computadora».

Se desconoce cómo llegó FinSpy a las máquinas de la víctima estudiadas por los investigadores, pero es posible que los atacantes tuvieran acceso físico o hubieran robado credenciales administrativas. Kuznetsov dice que las víctimas de alguna manera descargaron e inadvertidamente instalaron la primera etapa del malware.

Una muestra de FinFisher había reemplazado al cargador de arranque UEFI de Home windows. (UEFI es la interfaz en un microprocesador que opera iniciando el sistema y cargando el sistema operativo). El código UEFI malicioso de FinFisher puede eludir cualquier verificación de seguridad del firmware. Según los investigadores, el kit de arranque UEFI de FinFisher no infectó el firmware en sí, sino la etapa de arranque y en una partición separada, lo que hace que sea más difícil de detectar.

Defensas
Existen muchas mejores prácticas para protegerse contra FinSpy u otro software espía, incluido el proceso habitual de mantener el software package actualizado y solo a través de fuentes confiables, evitando abrir archivos adjuntos o enlaces no solicitados, empleando una sólida protección de endpoints y brindando capacitación en concientización sobre ciberseguridad, por ejemplo, según a Kaspersky.

Los investigadores publicaron hoy un informe técnico sobre sus hallazgos en el weblog Securelist.



Enlace a la noticia first