Así ha evolucionado el spyware FinFisher

Recomendados:  Atención pública al ciudadano: hacia una relación de 360 grados Evento Identificación de ataques web Leer

Los investigadores de la firma de seguridad, han realizado un análisis realizado durante ocho meses sobre las novedades introducidas en el spyware FinSpy para Windows, Mac OS y Linux, y sus instaladores.

FinFisher, también conocido como FinSpy o Wingbird, es una herramienta de vigilancia que Kaspersky lleva rastreando desde 2011. Es capaz de recopilar credenciales, listados de archivos y archivos eliminados, así como documentos, así como de transmitir en vivo, grabar datos y obtener acceso a una cámara web y un micrófono. Sus implantes en Windows fueron detectados e investigados varias veces hasta 2018, cuando FinFisher empezó a pasar desapercibido.

Posteriormente, las soluciones de Kaspersky detectaron instaladores sospechosos de aplicaciones legítimas como TeamViewer, VLC Media Player y WinRAR, que contenían código malicioso que no podía atribuirse a ningún malware conocido. Esto fue así hasta que un día descubrieron un sitio web en birmano que contenía los instaladores infectados y muestras de FinFisher para Android, lo que ayudó a identificar que estaban troyanizados con el mismo spyware. Este descubrimiento animó a los investigadores de Kaspersky a investigar más a fondo FinFisher.

A diferencia de las versiones anteriores del programa espía, que contenían el troyano en la aplicación infectada, las nuevas muestras estaban protegidas por dos componentes: un Pre-validador no persistente y un Post-Validador. El primero ejecuta múltiples comprobaciones de seguridad para garantizar que el dispositivo que está infectando no pertenece a un investigador de seguridad. Sólo cuando se superan dichas comprobaciones, el servidor proporciona el componente Post-Validador, que garantiza que la víctima infectada es la prevista. Es entonces cuando el servidor ordena el despliegue de la plataforma troyana completa.

FinFisher se oculta bajo cuatro complejos ofuscadores hechos a medida. La función principal de esta ofuscación es ralentizar el análisis del programa espía. Además, el troyano también emplea formas

peculiares de recopilar información. Por ejemplo, utiliza el modo de desarrolladores en los navegadores para interceptar el tráfico protegido con un protocolo HTTPS.

Los investigadores también descubrieron una muestra de FinFisher que sustituía el gestor de arranque UEFI de Windows -un componente que lanza el sistema operativo tras el del firmware- por otro malicioso. Esta forma de infección permitía a los atacantes instalar un bootkit sin necesidad de saltarse los controles de seguridad del firmware. Las infecciones UEFI son muy raras y generalmente difíciles de ejecutar, destacan por su evasión y persistencia. Aunque en este caso los atacantes no infectaron el firmware UEFI en sí, sino su siguiente fase de arranque, el ataque fue especialmente sigiloso, ya que el módulo malicioso se instaló en una partición separada y pudo controlar el proceso de arranque de la máquina infectada.

Según Igor Kuznetsov, investigador principal de seguridad del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky”, “que se despliegue con gran precisión y sea prácticamente imposible de analizar también significa que sus víctimas son especialmente vulnerables, y los investigadores se enfrentan a un reto especial: tener que invertir una cantidad abrumadora de recursos para desenredar todas y cada una de las muestras”.