El software de vigilancia FinFisher desarrollado comercialmente se ha actualizado para infectar dispositivos Windows utilizando un kit de arranque UEFI (Interfaz de firmware extensible unificada) utilizando un Administrador de arranque de Windows troyanizado, lo que marca un cambio en los vectores de infección que le permiten eludir el descubrimiento y el análisis.
Detectado en la naturaleza desde 2011, FinFisher (también conocido como FinSpy o Wingbird) es un conjunto de herramientas de software espía para Windows, macOS y Linux desarrollado por la firma anglo-alemana Gamma International y suministrado exclusivamente a agencias de inteligencia y de aplicación de la ley. Pero al igual que con Pegasus de NSO Group, el software también se ha utilizado para espiar a activistas de Bahrein en el pasado supuestamente y se entregó como parte de campañas de spear-phishing en septiembre de 2017.
FinFisher está equipado para recopilar credenciales de usuario, listados de archivos, documentos confidenciales, grabar pulsaciones de teclas, desviar mensajes de correo electrónico de Thunderbird, Outlook, Apple Mail e Icedove, interceptar contactos de Skype, chats, llamadas y archivos transferidos, y capturar audio y video obteniendo acceso. al micrófono y la cámara web de una máquina.
Si bien la herramienta se implementó anteriormente a través de instaladores manipulados de aplicaciones legítimas como TeamViewer, VLC y WinRAR que estaban respaldados con un descargador ofuscado, las actualizaciones posteriores en 2014 permitieron infecciones a través de kits de inicio Master Boot Record (MBR) con el objetivo de inyectar un cargador malicioso. de una manera diseñada para pasar por alto las herramientas de seguridad.
La última característica que se agregará es la capacidad de implementar un kit de arranque UEFI para cargar FinSpy, con nuevas muestras que exhiben propiedades que reemplazaron el cargador de arranque UEFI de Windows con una variante maliciosa, además de contar con cuatro capas de ofuscación y otros métodos de detección y evasión para ralentizar la ingeniería inversa y el análisis.
“Esta forma de infección permitió a los atacantes para instalar un bootkit sin la necesidad de controles de seguridad de derivación de firmware,” Equipo de Investigación y Análisis Global de Kaspersky (grandes) , dijo en una inmersión profunda técnica tras una investigación de ocho meses de duración. “Las infecciones UEFI son muy raras y generalmente difíciles de ejecutar, se destacan por su evasión y persistencia”.
UEFI es una interfaz de firmware y una mejora con respecto al sistema básico de entrada / salida (BIOS) con soporte para arranque seguro , que garantiza la integridad del sistema operativo para garantizar que ningún malware haya interferido con el proceso de arranque. Pero debido a que UEFI facilita la carga del sistema operativo en sí, las infecciones de bootkit no solo son resistentes a la reinstalación del sistema operativo o al reemplazo del disco duro, sino que también pasan desapercibidas para las soluciones de seguridad que se ejecutan dentro del sistema operativo.
Esto permite a los actores de amenazas tener control sobre el proceso de arranque, lograr la persistencia y eludir todas las defensas de seguridad. “Si bien en este caso los atacantes no infectaron el firmware UEFI en sí, pero en su siguiente etapa de arranque, el ataque fue particularmente sigiloso, ya que el módulo malicioso se instaló en una partición separada y podía controlar el proceso de arranque de la máquina infectada”, dijo el añadieron los investigadores.