La nueva variante de FinSpy Malware infecta los sistemas Windows usando el UEFI Bootkit

Malware espía FinSpy

El software de seguimiento desarrollado comercialmente de FinFisher se ha actualizado para infectar dispositivos Windows mediante el kit de arranque de la interfaz de firmware extensible unificada (UEFI), que utiliza un administrador de arranque de Windows trianizado, un cambio en los vectores de infección que le permite escapar de la detección y el análisis.

FinFisher (también conocido como FinSpy o Wingbird), que se ha detectado en la naturaleza desde 2011, es un conjunto de herramientas de spyware para Windows, macOS y Linux desarrollado por la empresa anglo-alemana Gamma International y suministrado exclusivamente a las fuerzas del orden y las agencias de inteligencia. Pero al igual que con Pegasus de NSO Group, el software también se usó en el pasado para espiar a activistas de Bahrein y se entregó como parte de campañas de phishing en septiembre de 2017.

FinFisher está equipado para recuperar credenciales de usuario, listados de archivos, documentos confidenciales, registrar pulsaciones de teclas, aspirar mensajes de correo electrónico de Thunderbird, Outlook, Apple Mail y Icedove, capturar contactos de Skype, chats, llamadas y archivos transferidos y capturar audio y video al obtener acceso . en el micrófono de la máquina y la cámara web.

Si bien la herramienta se implementó anteriormente a través de instaladores falsos de aplicaciones legítimas como TeamViewer, VLC y WinRAR, que estaban ocultos por un descargador deshonesto, las actualizaciones posteriores en 2014 permitieron infecciones a través de kits de arranque Master Boot Record (MBR) para insertar un cargador de arranque malicioso. de una manera que está diseñada para deslizarse alrededor de las herramientas de seguridad.

La última característica que se agregará es la capacidad de implementar un kit de arranque UEFI para cargar FinSpy, con las nuevas muestras que muestran características que han reemplazado el cargador de arranque UEFI de Windows con una variante maliciosa, y también cuentan con cuatro capas de niebla y otros métodos de detección y prevención. ralentizar la ingeniería inversa y el análisis.

«Este tipo de infección ha permitido a los atacantes instalar un bootkit sin tener que eludir las comprobaciones de seguridad del firmware», dijo el equipo global de investigación y análisis de Kaspersky (GReAT) en una inmersión técnica profunda después de una investigación de ocho meses. «Las infecciones UEFI son muy raras y generalmente difíciles de realizar, sobresalen por su evasión y perseverancia».

UEFI es una interfaz básica de sistema de entrada/salida (BIOS) con soporte de arranque seguro que garantiza la integridad del sistema operativo para garantizar que ningún malware interfiera con el proceso de arranque. Pero debido a que UEFI facilita la carga del sistema operativo, las infecciones de bootkit no solo son resistentes a la reinstalación del sistema operativo o al reemplazo del disco duro, sino que también pasan desapercibidas para las soluciones de seguridad que se ejecutan en el sistema operativo.

Esto permite a los actores de amenazas tener control sobre el proceso de arranque, lograr la sostenibilidad y eludir todas las defensas de seguridad. «Si bien en este caso los atacantes no infectaron el firmware UEFI en sí, sino su siguiente fase de arranque, el ataque fue especialmente secreto porque el módulo malicioso se instaló en una partición separada y podía controlar el proceso de arranque de la computadora infectada», agregaron los investigadores.

Continua leyendo

Deja una respuesta

Tu dirección de correo electrónico no será publicada.

Newsletter Signup

Suscríbete a nuestra lista si te interesa recibir turcos exclusivos sobre hacking y seguridad informática