Os investigadores da Kaspersky apresentaram uma investigação aprofundada sobre as mais recentes novidades introduzidas no spyware FinSpy para o Windows, Mac OS, Linux e outros developers.
Esta análise, que demorou oito meses a ser realizada, realça quatro níveis de ofuscação e avança medidas antianálise, promovidas por quem desenvolveu os spywares, bem como a utilização de um bootkit UEFI que infecta as suas vítimas.
Os resultados da investigação enfatizam a evasão das defesas, convertendo o FinFisher num dos spywares mais difíceis de detectar e reportar até à data.
O FinFisher, também conhecido como “FinSpy” ou “Wingbird”, é uma ferramenta de vigilância e segurança que a Kaspersky monitoriza desde 2011.
Este é capaz de reunir credenciais, listas de documentos e ficheiros apagados, sendo capaz de transmitir em tempo real, gravando informação recolhida e acedendo ao microfone e câmara dos dispositivos.
Os seus implantes no Windows foram detebtados e investigados inúmeras vezes desde 2018, numa altura em que o FinFisher parecia ter desaparecido.
Após esta fase, a Kaspersky começou a detectar instalações suspeitas de aplicações legitimas, tais como o TeamViewer, o VLC Media Player e o WinRAR, que continham código malicioso não associado a um malware conhecido.
A partir daqui, conseguiram descobrir um site em birmanês, que continha os instaladores infebtados e amostras de FinFisher para Android – ajudando a identificar que estes tinham sido “trojanizados” a partir do mesmo spyware.
Esta investigação acabou por levar os investigadores da Kaspersky a analisar em seguida, com mais rigor, o FinFisher.
Contrariamente a versões anteriores do programa espião, em que o trojan era identificado na aplicação infectada, nas novas amostras existe uma protecção por parte de outros dois componentes: o de pré-validação não persistente e o de pós-validação.
Num primeiro momento, o componente de pré-validação executa múltiplos parâmetros de segurança, para garantir que o dispositivo que está infetado não pertence a um investigador de segurança.
E só num segundo momento, após esse escrutínio, é que o componente destinado à validação posterior, garante que a vítima infebtada é a prevista. É nesse instante que o servidor ordena a implementação da plataforma troiana completa.
O FinFisher é fortemente ocultado por quatro ofuscadores elaborados de forma complexa.
A principal função desta ofuscação é abrandar a análise do spyware. O trojan abarca, de igual modo, formas peculiares de obter informação, utilizando, por exemplo, o modo developer nos seus navegadores, de modo a intercetar a protecção do tráfego, através do protocolo HTTPS.
Exemplo de propriedades das tarefas programadas
Os investigadores, neste âmbito, também descobriram uma amostra de FinFisher que substitui o gestor de arranque UEFI do Windows – um componente que lança o sistema operativo após o lançamento do firmware – por um malicioso.
Esta forma de infecção acaba por permitir que os atacantes instalem um bootkit, sem a necessidade de contornar os parâmetros de segurança do firmware.
As infecções UEFI são muito raras e geralmente difíceis de executar, na medida em que se destacam pela capacidade de evasão e persistência.
Embora, neste caso particular, os atacantes não cheguem a infectar o firmware UEFI em si, atacando apenas o estádio inicial, o seu carácter é de igual modo furtivo, pois o módulo malicioso foi instalado num compartimento separado, que poderá controlar o processo de arranque do dispositivo infectado.
“O fluxo de trabalho destinado a tornar o FinFisher inacessível aos investigadores de segurança é preocupante e, de certo modo, surpreendente. Parece que os developers colocaram muitos esforços na ofuscação e medidas de antianálise, assim como no próprio trojan. Como resultado, a sua capacidade para evadir qualquer detecção e análise faz com que este spyware seja particularmente difícil de rastrear e de detectar. O facto de este spyware ser implantado com extrema precisão e praticamente impossível de analisar, significa que as suas vítimas estão especialmente vulneráveis, o que faz com que os especialistas enfrentem o seguinte desafio: investir num volume avassalador de recursos para decompor cada e qualquer amostra. As ameaças complexas como a FinFisher realçam a importância da cooperação e partilha de conhecimento entre investigadores de segurança, bem como o investimento em novas soluções de segurança que visem combater estas ameaças”, comenta Igor Kuznetson, investigador principal de segurança da Equipa Global de Investigação e Análise da Kaspersky.
Se gosta desta notícia, subscreva gratuitamente a newsletter da Security Magazine.
