Данное шпионское ПО ранее ассоциировалось с вредоносными установщиками и загрузчиками MBR.
FinSpy, также известный как FinFisher/Wingbird - это программа наблюдения, которая была выявлена впервые в 2011 году, когда были обнаружены версии вредоноса для настольных компьютеров на базе Windows, а год спустя были обнаружены адаптации для мобильных устройств.
В 2019 году исследователи Kasperksy обнаружили новые, обновленные образцы под Android и iOS, а также признаки продолжающихся инфекций в Мьянме. Правительство Индонезии также было связано с использованием FinSpy.
Во вторник на саммите Security Analyst Summit (SAS), организованном Лабораторией Касперского, исследователи Игорь Кузнецов и Георгий Кучерин заявили, что за последние три года частота обнаружения имплантатов FinSpy для Windows неуклонно снижалась. Однако теперь программное обеспечение было усовершенствовано и получило новые векторы заражения ПК.
По данным Касперского вредоносная программа пошла дальше развертывания исключительно через троянские инсталляторы, обычно поставляемые в комплекте с легитимными приложениями, включая TeamViewer, VLC и WinRAR. В 2014 году его разработчики добавили буткиты Master Boot Record (MBR), цель которых - обеспечить загрузку вредоносного кода при первой же возможности на зараженном компьютере, а сейчас исследователи утверждают, что теперь в арсенал FinSpy также добавлены буткиты Unified Extensible Firmware Interface (UEFI).
Вредоносная проверяет наличие виртуальной машины (VM), и если она найдена, то передается только шелл-код, вероятно, в попытке избежать попыток обратной разработки.
UEFI является критически важным для компьютерных систем, поскольку участвует в загрузке операционных систем. FinSpy - не единственная вредоносная программа, нацеленная на этот элемент машины: LoJax и MosaicRegressor также являются яркими примерами.
Кучерин, однако, сказал, что буткит FinSpy был «не таким, как мы обычно видим», и для его установки требовались лишь права администратора.
Образец UEFI-буткита, который загрузил FinSpy, дал команде подсказки о его функциональности. Менеджер загрузки Windows (bootmgfw.efi) был заменен на вредоносный вариант, а после загрузки запускались два зашифрованных файла - инжектор Winlogon и основной загрузчик трояна.
Полезная нагрузка FinSpy зашифрована, и как только пользователь входит в систему, загрузчик внедряется в winlogon.exe, что приводит к расшифровке и извлечению троянца.
Если целевая машина слишком старая и не поддерживает UEFI, это не означает, что она защищена от заражения. Вместо этого FinSpy будет атаковать систему через MBR, вредонос может поражать и 32-битные машины.
FinSpy способен перехватывать и передавать широкий спектр данных с зараженного ПК, включая локально сохраненные носители, информацию об ОС, учетные данные браузеров и виртуальных частных сетей (VPN), ключи продуктов Microsoft, историю поиска, пароли Wi-Fi, SSL-ключи, записи Skype и многое другое.
На мобильных устройствах FinSpy будет отслеживать списки контактов, SMS-сообщения, файлы в памяти, содержимое электронной почты и координаты местоположения GPS. Кроме того, вредоносная программа может отслеживать голосовую VoIP и просматривать контент, передаваемый через такие приложения, как Facebook Messenger, Signal, Skype, WhatsApp и WeChat.
Версия FinSpy для macOS содержит только один установщик - то же самое относится и к версии для Linux. Однако в последнем случае вектор заражения, используемый для доставки FinSpy, в настоящее время неизвестен, хотя есть подозрение, что может потребоваться физический доступ.
Последнее расследование по делу FinSpy заняло восемь месяцев. По словам Кузнецова, скорее всего, хакеры «будут постоянно модернизировать свою инфраструктуру», и это будет «бесконечная история».
Источник: https://www.zdnet.com
