Spyware FinFisher incorpora quatro níveis de ofuscação, de infeção UEFI e mais

João Fernandes Por
Set. 28, 2021
Spyware FinFisher incorpora quatro níveis de ofuscação, de infeção UEFI e mais
Notícias

Os investigadores da Kaspersky apresentaram uma investigação aprofundada sobre as mais recentes novidades introduzidas no spyware FinSpy para o Windows, Mac OS, Linux e outros developers. Esta análise, que demorou oito meses a ser realizada, realça quatro níveis de ofuscação e avança medidas antianálise, promovidas por quem desenvolveu os spywares, bem como a utilização de um bootkit UEFI que infeta as suas vítimas. Os resultados da investigação enfatizam a evasão das defesas, convertendo o FinFisher num dos spywares mais difíceis de detetar e reportar até à data.

O FinFisher, também conhecido como “FinSpy” ou “Wingbird”, é uma ferramenta de vigilância e segurança que a Kaspersky monitoriza desde 2011. Este é capaz de reunir uma panóplia de credenciais, listas de documentos e ficheiros apagados, sendo igualmente capaz de transmitir em tempo real, gravando informação recolhida e acedendo ao microfone e câmara dos dispositivos. Os seus implantes no Windows foram detetados e investigados inúmeras vezes desde 2018, numa altura em que o FinFisher parecia ter desaparecido.

Após esta fase, as soluções da Kaspersky começaram a detetar instalações suspeitas de aplicações legitimas, tais como o TeamViewer, o VLC Media Player e o WinRAR, que continham código malicioso não associado a um malware conhecido. A partir daqui, conseguiram descobrir um site em birmanês, que continha os instaladores infetados e amostras de FinFisher para Android – ajudando a identificar que estes tinham sido “trojanizados” a partir do mesmo spyware. Esta investigação acabou por levar os investigadores da Kaspersky a analisar em seguida, com mais rigor, o FinFisher.

Contrariamente a versões anteriores do programa espião, em que o trojan era identificado na aplicação infetada, nas novas amostras existe uma proteção por parte de outros dois componentes: o de pré-validação não persistente e o de pós-validação. Num primeiro momento, o componente de pré-validação executa múltiplos parâmetros de segurança, para garantir que o dispositivo que está infetado não pertence a um investigador de segurança. E só num segundo momento, após esse escrutínio, é que o componente destinado à validação posterior, garante que a vítima infetada é a prevista. É nesse instante que o servidor ordena a implementação da plataforma troiana completa.

O FinFisher é fortemente ocultado por quatro ofuscadores elaborados de forma complexa. A principal função desta ofuscação é abrandar a análise do spyware. O trojan abarca, de igual modo, formas peculiares de obter informação, utilizando, por exemplo, o modo developer nos seus navegadores, de modo a intercetar a proteção do tráfego, através do protocolo HTTPS.

Os investigadores, neste âmbito, também descobriram uma amostra de FinFisher que substitui o gestor de arranque UEFI do Windows – um componente que lança o sistema operativo após o lançamento do firmware – por um malicioso. Esta forma de infeção acaba por permitir que os atacantes instalem um bootkit, sem a necessidade de contornar os parâmetros de segurança do firmware. As infeções UEFI são muito raras e geralmente difíceis de executar, na medida em que se destacam pela capacidade de evasão e persistência. Embora, neste caso particular, os atacantes não cheguem a infetar o firmware UEFI em si, atacando apenas o estádio inicial, o seu carácter é de igual modo furtivo, pois o módulo malicioso foi instalado num compartimento separado, que poderá controlar o processo de arranque do dispositivo infetado.

“O fluxo de trabalho destinado a tornar o FinFisher inacessível aos investigadores de segurança é preocupante e, de certo modo, surpreendente. Parece que os developers colocaram muitos esforços na ofuscação e medidas de antianálise, assim como no próprio trojan. Como resultado, a sua capacidade para evadir qualquer deteção e análise faz com que este spyware seja particularmente difícil de rastrear e de detetar. O facto de este spyware ser implantado com extrema precisão e praticamente impossível de analisar, significa que as suas vítimas estão especialmente vulneráveis, o que faz com que os especialistas enfrentem o seguinte desafio: investir num volume avassalador de recursos para decompor cada e qualquer amostra. As ameaças complexas como a FinFisher realçam a importância da cooperação e partilha de conhecimento entre investigadores de segurança, bem como o investimento em novas soluções de segurança que visem combater estas ameaças”, comenta Igor Kuznetson, investigador principal de segurança da Equipa Global de Investigação e Análise da Kaspersky (GReAT).

Leia o relatório completo do FinFisher na Securelist.

Para se proteger de ameaças como a FinFisher, a Kaspersky recomenda:

  • Fazer downloads das aplicações a partir de websites fidedignos;
  • Não se esquecer de atualizar o sistema operativo e todo o software Tenha em conta que muitos dos problemas de segurança podem ser resolvidos ao instalar versões de software atualizadas;
  • Desconfiar de ficheiros em anexo nos emails. Antes de clicar para abrir um anexo ou seguir um link, deve ter-se em atenção se o emissor é alguém que se conhece e em quem se confia; se se está à espera do mesmo; ou se está “limpo”. Passe com o cursor pelos arquivos e links, de modo a averiguar o seu emissor e destinatário real;
  • Evitar instalar software proveniente de fontes desconhecidas, pois estes muitas vezes contêm ficheiros maliciosos;
  • Utilizar uma solução de segurança forte em todos os computadores e dispositivos móveis, tais como o Kaspersky Internet Security for Android ou o Kaspersky Total Security  

Para a proteção das organizações, a Kaspersky sugere:

  • Configurar uma política para uso de software não corporativo. Tenha em mente a importância de educar os colaboradores face aos riscos de fazer downloads não autorizados de aplicações ou fontes desconhecidas;
  • Facultar às diferentes equipas uma formação básica de cibersegurança, na medida em que muitos dos ataques começam com a prática de phishing ou outras técnicas de engenharia social;
  • Instalar soluções anti-APT e EDR, de modo a que as ameaças sejam identificadas, permitindo remediar incidentes de forma atempada. Providenciar à equipa de SOC o acesso a informação sobre ameaças recentes, mantendo-a atualizada por profissionais regularmente. Toda esta informação pode ser encontrada no Kaspersky Expert Security;
  • Juntamente com a proteção adequada dos últimos pontos, recomenda-se a utilização de serviços direcionados ao ataque de alto perfil. O serviço Kaspersky Managed Detection and Response pode ajudar a identificar e acabar com os ataques em fases embrionárias, antes que os atacantes atinjam o seu objetivo.

A Kaspersky é uma empresa global de cibersegurança e privacidade digital fundada em 1997. O seu profundo conhecimento do panorama de inteligência de ameaças e a sua experiência leva à criação contínua de soluções de segurança e serviços para proteger as empresas, as infraestruturas mais críticas, Governos e consumidores por todo o mundo.

Classifique este item
(0 votos)
Ler 1698 vezes
Tagged em
Mais nesta categoria: « Surface Go 3 é anunciado pela Microsoft Huawei cria laboratório de inovação para impulsionar a digitalização segura »

Itens relacionados

Top