As campanhas do FinFisher utilizam vários mecanismos de infeção, incluindo spearphishing, instalações manuais com acesso físico a dispositivos, explorações de vulnerabilidades nos sistemas e contaminação de sites que os alvos costumam visitar.

O que é novo – e mais preocupante – acerca destas novas campanhas no que diz respeito à distribuição é que os atacantes utilizam um ataque man-in-the-middle, com este intermediário a operar normalmente ao nível do ISP.

Quando o utilizador – o alvo da vigilância – está preparado para descarregar uma das populares (e legítimas) aplicações, é redirecionado para uma versão dessa aplicação que foi infetada com o FinFisher.

As aplicações que até agora foram mal utilizadas para espalhar esta ameaça foram, entre outras, o WhatsApp, Skype, WinRAR, VLC Player, entre outras. É importante salientarmos que qualquer aplicação existente no mercado pode ser modificada desta forma.

O ataque começa com o utilizador a pesquisar por uma das aplicações afetadas em sites legítimos. No entanto, quando o utilizador dá um clique na ligação para download, é servido ao browser um link modificado que o redireciona para descarregar um pacote de instalação malicioso que se encontra alojado no servidor do atacante. Quando descarregado e executado, instala não só a aplicação legítima, mas também o spyware FinFisher.