 |
|
|
Los investigadores de Kaspersky presentaron una investigación exhaustiva sobre todas las actualizaciones recientes introducidas en el software espía FinFisher para Windows, Mac OS, Linux y sus instaladores. La investigación, que tardó ocho meses en completarse, descubrió medidas de ofuscación de cuatro capas y anti análisis avanzadas que los programadores del software espía emplearon, así como un kit de arranque UEFI para infectar a las víctimas. Estos hallazgos sugieren un gran énfasis en medidas de defensa por evasión, lo que convierte a FinFisher en uno de los programas espías más difíciles de detectar hasta la fecha.
FinFisher, también conocido como FinSpy o Wingbird, es una herramienta de vigilancia que Kaspersky ha estado rastreando desde 2011. Es capaz de recopilar varias credenciales, listados de archivos y archivos borrados, así como diferentes documentos, señales de streaming en vivo o grabar datos y obtener acceso a la cámara web y micrófono. Sus implantes en Windows se detectaron e investigaron varias veces hasta 2018, cuando FinFisher parecía haber desaparecido.
Después de esta fase, las soluciones de Kaspersky comenzaron a detectar instalaciones sospechosas de aplicaciones legítimas como TeamViewer, VLC Media Player y WinRAR, que contenían código malicioso, no asociado a algún malware conocido. A partir de esto descubrieron un sitio web en birmano que contenía los instaladores infectados y muestras de FinFisher para Android, ayudando así a identificar que estaban troyanizados con el mismo spyware. Este descubrimiento impulsó a los investigadores de Kaspersky a indagar más sobre FinFisher.
A diferencia de las versiones anteriores del software espía, que contenían el troyano en la aplicación infectada, las nuevas muestras están protegidas por dos componentes: un prevalidador no persistente y un posvalidador. El primero de estos componentes ejecuta varias comprobaciones de seguridad para garantizar que el dispositivo que está infectando no pertenezca a un investigador de seguridad. Solo cuando se aprueban las comprobaciones, el servidor proporciona el componente pos-validador; este componente garantiza que la víctima infectada sea la prevista. Es en este instante cuando el servidor ordena la implementación de la plataforma troyana completa.
FinFisher cuenta con cuatro ofuscadores complejos hechos a la medida. La función principal de esta ofuscación es ralentizar el análisis del software espía. Además de eso, el troyano también emplea formas peculiares de recopilar información. Por ejemplo, utiliza el modo de desarrollador en los navegadores para interceptar la protección del tráfico, a través del protocolo HTTPS.
Los investigadores también descubrieron una muestra de FinFisher que reemplaza el cargador de arranque UEFI de Windows, un componente que inicia el sistema operativo después de que se lanza el firmware, por uno malicioso. Esta forma de infección permite a los atacantes instalar un bootkit sin la necesidad de eludir las comprobaciones de seguridad del firmware. Las infecciones UEFI son muy raras y generalmente difíciles de ejecutar, pues se destacan por su evasión y persistencia. Aunque, en este caso, los atacantes no infectan el firmware UEFI en sí, sino la siguiente etapa de arranque, el ataque es especialmente sigiloso, ya que el módulo malicioso se instala en una partición separada que puede controlar el proceso de arranque de la máquina infectada.
“El esfuerzo destinado a hacer que FinFisher sea inaccesible para los investigadores de seguridad es particularmente preocupante y bastante impresionante. Al parecer, los programadores enfocaron sus esfuerzos, tanto en las medidas de ofuscación y anti análisis, así como en el propio troyano. Como resultado, su capacidad para evadir cualquier detección y análisis hace que este software espía sea particularmente difícil de rastrear y detectar. El hecho de que este spyware se despliegue con extrema precisión y sea prácticamente imposible de analizar, hace que sus víctimas sean especialmente vulnerables, resultando en que los expertos se enfrenten a un desafío especial: tener que invertir una cantidad abrumadora de recursos para desenredar todas y cada una de las muestras. Amenazas complejas como FinFisher destacan la importancia de la cooperación y el intercambio de conocimientos entre los investigadores de seguridad, así como la inversión en nuevas soluciones de seguridad que tienen como objetivo combatir estas amenazas”, comentó Igor Kuznetsov, investigador principal de seguridad del Equipo de Análisis e Investigación Global de Kaspersky.
|
