Threats

Spyware FinFisher incorpora quatro níveis de ofuscação

Os investigadores da Kaspersky apresentaram uma investigação sobre as mais recentes novidades introduzidas no spyware FinSpy para Windows, MacOS e Linux

29/09/2021

Spyware FinFisher incorpora quatro níveis de ofuscação

Os investigadores da Kaspersky apresentaram uma investigação aprofundada sobre as mais recentes novidades introduzidas no spyware FinSpy para o Windows, Mac OS, Linux e outros developers.

Em comunicado, a Kaspersky especifica que esta análise, que demorou oito meses a ser realizada, realça quatro níveis de ofuscação e avança medidas antianálise, promovidas por quem desenvolveu os spywares, bem como a utilização de um bootkit UEFI que infeta as suas vítimas. Os resultados da investigação enfatizam a evasão das defesas, convertendo o FinFisher num dos spywares mais difíceis de detetar e reportar até à data. 

O FinFisher, também conhecido como “FinSpy” ou “Wingbird”, é uma ferramenta de vigilância e segurança que a Kaspersky monitoriza desde 2011. Este é capaz de reunir uma panóplia de credenciais, listas de documentos e ficheiros apagados, sendo igualmente capaz de transmitir em tempo real, gravando informação recolhida e acedendo ao microfone e câmara dos dispositivos. Os seus implantes no Windows foram detetados e investigados inúmeras vezes desde 2018, numa altura em que o FinFisher parecia ter desaparecido. 

Após esta fase, as soluções da Kaspersky começaram a detetar instalações suspeitas de aplicações legitimas, tais como o TeamViewer, o VLC Media Player e o WinRAR, que continham código malicioso não associado a um malware conhecido. A partir daqui, conseguiram descobrir um site em birmanês, que continha os instaladores infetados e amostras de FinFisher para Android – ajudando a identificar que estes tinham sido “trojanizados” a partir do mesmo spyware. Esta investigação acabou por levar os investigadores da Kaspersky a analisar em seguida, com mais rigor, o FinFisher. 

Contrariamente a versões anteriores do programa espião, em que o trojan era identificado na aplicação infetada, nas novas amostras existe uma proteção por parte de outros dois componentes: o de pré-validação não persistente e o de pós-validação. Num primeiro momento, o componente de pré-validação executa múltiplos parâmetros de segurança, para garantir que o dispositivo que está infetado não pertence a um investigador de segurança. E só num segundo momento, após esse escrutínio, é que o componente destinado à validação posterior, garante que a vítima infetada é a prevista. É nesse instante que o servidor ordena a implementação da plataforma troiana completa.

O FinFisher é fortemente ocultado por quatro ofuscadores elaborados de forma complexa. A principal função desta ofuscação é abrandar a análise do spyware. O trojan abarca, de igual modo, formas peculiares de obter informação, utilizando, por exemplo, o modo developer nos seus navegadores, de modo a intercetar a proteção do tráfego, através do protocolo HTTPS.

Os investigadores, neste âmbito, também descobriram uma amostra de FinFisher que substitui o gestor de arranque UEFI do Windows – um componente que lança o sistema operativo após o lançamento do firmware – por um malicioso. Esta forma de infeção acaba por permitir que os atacantes instalem um bootkit, sem a necessidade de contornar os parâmetros de segurança do firmware. As infeções UEFI são muito raras e geralmente difíceis de executar, na medida em que se destacam pela capacidade de evasão e persistência. Embora, neste caso particular, os atacantes não cheguem a infetar o firmware UEFI em si, atacando apenas o estádio inicial, o seu carácter é de igual modo furtivo, pois o módulo malicioso foi instalado num compartimento separado, que poderá controlar o processo de arranque do dispositivo infetado. 

O fluxo de trabalho destinado a tornar o FinFisher inacessível aos investigadores de segurança é preocupante e, de certo modo, surpreendente. Parece que os developers colocaram muitos esforços na ofuscação e medidas de antianálise, assim como no próprio trojan. Como resultado, a sua capacidade para evadir qualquer deteção e análise faz com que este spyware seja particularmente difícil de rastrear e de detetar. O facto de este spyware ser implantado com extrema precisão e praticamente impossível de analisar, significa que as suas vítimas estão especialmente vulneráveis, o que faz com que os especialistas enfrentem o seguinte desafio: investir num volume avassalador de recursos para decompor cada e qualquer amostra. As ameaças complexas como a FinFisher realçam a importância da cooperação e partilha de conhecimento entre investigadores de segurança, bem como o investimento em novas soluções de segurança que visem combater estas ameaças”, comenta Igor Kuznetson, investigador principal de segurança da Equipa Global de Investigação e Análise da Kaspersky (GReAT), em comunicado.


Notícias relacionadas

RECOMENDADO PELOS LEITORES

REVISTA DIGITAL

IT SECURITY Nº2 Setembro 2021

IT SECURITY Nº2 Setembro 2021

NEWSLETTER

Receba todas as novidades na sua caixa de correio!

O nosso website usa cookies para garantir uma melhor experiência de utilização.