Kaspersky ha presentato i risultati di un’indagine durata otto mesi nel set di strumenti integrati nello spyware FinFisher. L’azienda di cybersecurity ha scoperto un nuovo metodo di infezione “bootkit” UEFI e “metodi anti-analisi avanzati” come “l’offuscamento a quattro livelli”.
FinFisher, noto anche come FinSpy, è un prodotto della società di spionaggio anglo-tedesca Gamma International e fornito esclusivamente alle forze dell’ordine e alle agenzie di intelligence per essere utilizzato come strumento di sorveglianza. Il software sarebbe stato utilizzato dall’ex governo egiziano di Hosni Mubarak per spiare i dissidenti e dal governo del Bahrein per spiare gli attivisti del Bahrein in Gran Bretagna , con il risultato che il software è stato bandito per violazione dei diritti umani .
Indagine Kaspersky, FinFisher si aggiorna e diventa sempre più pericoloso
Secondo l’indagine condotta da Kaspersky Il toolkit dello spyware FinFisher riceve aggiornamenti frequenti per eludere il rilevamento e aggiungere nuove funzionalità. La stessa Kaspersky aveva precedentemente rilevato un aggiornamento del 2019 che ha potenziato le capacità di spionaggio di FinFischer, includendo chat, rilevamento degli spostamenti fisici, accesso a microfono e fotocamera, oltre all’acquisizione e all’esfiltrazione dei dati archiviati localmente.
Nell’ultimo rapporto di Kaspersky sullo strumento, il team di ricerca dell’azienda ha affermato che i creatori di FinFisher hanno lavorato per nascondere lo spyware dal rilevamento anti-malware e persino dall’analisi professionale.
“A differenza delle versioni precedenti dello spyware, che contenevano subito il trojan nell’applicazione infetta, i nuovi campioni erano protetti da due componenti: un pre-validatore non persistente e un post-convalida”, afferma il rapporto.
Il pre-validatore esegue una serie di controlli per vedere se il sistema infetto potrebbe appartenere a un ricercatore di sicurezza che analizza il malware, rifiutandosi di consentire all’infezione di prendere piede in tal caso. Se il pre-validatore non viene attivato, viene fornito un post-validatore dal server di comando e controllo per verificare che il sistema da infettare sia effettivamente il dispositivo di destinazione e solo se entrambi i test risultano veri il Trojan verrà scaricato e installato.
I ricercatori hanno anche scoperto un sistema di “offuscamento a quattro livelli”, progettato per proteggere il malware dall’analisi se dovesse cadere in qualche modo nelle mani sbagliate, e un campione progettato per sostituire il bootloader dell’interfaccia UEFI (Unified Extensible Firmware Interface) di Windows con il proprio equivalente dannoso che in pratica abilita l’installazione all’avvio senza attivare i controlli di sicurezza del firmware.
LEGGI ANCHE: Kaspersky condivide il suo Transparency Report
- Difende da virus, cryptolocker e altri ransomware
- Protegge la tua privacy
- Protegge i tuoi acquisti online
- Mantiene inalterate le prestazioni del PC
- Parental Control Avanzato