Spyware FinFisher wraca z rozbudowanym arsenałem

2021-09-29
Badacze z firmy Kaspersky opublikowali wyniki szczegółowego badania dotyczącego wszystkich nowości, o jakie wzbogacone zostało niedawno oprogramowanie spyware FinSpy dla systemu Windows, macOS oraz Linux.

Prowadzona przez osiem miesięcy analiza ujawniła stosowane przez twórców tego szkodnika zaawansowane metody zaciemniania kodu oraz inne mechanizmy przeciwdziałania analizie, jak również użycie modułu infekującego UEFI w maszynach ofiar. Wyniki badania sugerują duży nacisk na obchodzenie mechanizmów ochrony przez szkodnika, które sprawia, że FinFisher to jak dotąd jedno z najtrudniejszych do wykrycia narzędzi spyware.

FinFisher, znany również jako FinSpy lub Wingbird, to narzędzie do monitoringu, które firma Kaspersky obserwuje od 2011 r. Potrafi gromadzić różne dane uwierzytelniające, wykazy plików oraz różne dokumenty, a ponadto przesyłać strumieniowo lub rejestrować dane oraz uzyskiwać dostęp do kamery internetowej i mikrofonu. Jego implanty dla systemu Windows były wielokrotnie badane do 2018 r., gdy wydawało się, że FinFisher zniknął ze sceny.

Później jednak rozwiązania firmy Kaspersky wykryły podejrzane instalatory legalnych aplikacji, takich jak TeamViewer, VLC Media Player oraz WinRAR, zawierające niebezpieczny kod, którego nie dało się powiązać z żadnym znanym szkodliwym oprogramowaniem. Tak było do czasu wykrycia strony internetowej w języku birmańskim zawierającej zainfekowane instalatory oraz próbki FinFishera dla systemu Android. Odkrycie to skłoniło badaczy z firmy Kaspersky do kontynuowania badań.

W przeciwieństwie do wcześniejszych wersji szkodnika, które od razu zawierały trojana w zainfekowanej aplikacji, nowe próbki są chronione przez dwa komponenty. Pierwszy przeprowadza kilka testów bezpieczeństwa, aby sprawdzić, czy infekowane urządzenie nie należy do badacza bezpieczeństwa. Jeśli tak nie jest, serwer dostarcza drugi komponent, który ma potwierdzić, że infekowana ofiara jest zamierzonym celem. Dopiero wtedy serwer wydaje polecenie zainstalowania pełnoprawnego trojana.

FinFisher został poddany zaciemnianiu przy pomocy czterech złożonych, niestandardowych narzędzi. Głównym celem tego procesu jest spowolnienie analizy. Ponadto trojan stosuje nietypowe sposoby gromadzenia informacji. Na przykład wykorzystuje tryb programisty w przeglądarkach w celu przechwytywania ruchu chronionego przy użyciu protokołu HTTPS.

Badacze wykryli również próbkę szkodnika FinFisher, która zastępowała menedżera rozruchu Windows UEFI – komponent, który uruchamia system operacyjny po starcie oprogramowania układowego wraz ze szkodnikiem. W ten sposób atakujący mogą zainstalować szkodliwy kod bez konieczności obchodzenia zabezpieczeń oprogramowania układowego. Infekcje UEFI są niezwykle rzadkie i ogólnie trudne do przeprowadzenia. Wyróżniają się tym, że umożliwiają długotrwałe utrzymywanie się szkodnika w systemie. Chociaż w omawianym przypadku cyberprzestępcy nie infekują samego oprogramowania układowego UEFI, a jedynie etap rozruchu, atak ten cechował się wyjątkową ukradkowością, ponieważ szkodliwy moduł został zainstalowany na oddzielnej partycji i mógł kontrolować proces uruchamiania zainfekowanego urządzenia.

Ogrom pracy włożonej w to, aby szkodnik FinFisher nie został wykryty i przeanalizowany przez badaczy bezpieczeństwa, jest z jednej strony niepokojący, z drugiej natomiast imponujący. Wydaje się, że w zaciemnianie oraz mechanizmy uniemożliwiające analizę włożono przynajmniej tyle samo pracy, co w samego trojana. W efekcie, dzięki swoim zdolnościom unikania wykrycia oraz analizy, FinFisher jest szczególnie trudny do wyśledzenia. Ponadto niezwykła precyzja, z jaką stosowany jest ten spyware, oznacza, że jego ofiary są szczególnie bezbronne, a badacze stoją przed specjalnym wyzwaniem – koniecznością zainwestowania ogromnej ilości zasobów w rozwikłanie każdej pojedynczej próbki. Złożone zagrożenia takie jak FinFisher pokazują, jak ważna jest współpraca oraz wymiana wiedzy między badaczami bezpieczeństwa, a także inwestowanie w nowe rodzaje rozwiązań bezpieczeństwa, które potrafią zwalczać takie szkodliwe narzędzia – powiedział Igor Kuzniecow, ekspert z Globalnego Zespołu ds. Badań i Analiz (GReAT) firmy Kaspersky.

Szczegóły techniczne dotyczące trojana FinFisher są dostępne na stronie https://r.kaspersky.pl/elfFI.

Ogólne porady bezpieczeństwa

Specjaliści z firmy Kaspersky zalecają następujące działania pozwalające zabezpieczyć się przed skomplikowanymi zagrożeniami, takimi jak FinFisher:

· Pobieraj aplikacje i programy z zaufanych stron internetowych.

· Nie zapominaj o regularnym aktualizowaniu systemu operacyjnego oraz oprogramowania. Wiele problemów dotyczących bezpieczeństwa można rozwiązać poprzez niezwłoczną instalację aktualizacji.

· Nie ufaj załącznikom do wiadomości e-mail. Zanim otworzysz jakikolwiek lub klikniesz zawarty w nim odsyłacz, zadaj sobie kilka pytań: Czy pochodzi od osoby, którą znam i której ufam? Czy spodziewałem się go? Czy jest nieszkodliwy? Najedź kursorem na odsyłacze i załączniki, aby zobaczyć, jakie są ich rzeczywiste nazwy i dokąd prowadzą.

· Nie instaluj oprogramowania z nieznanych źródeł. Może ono zawierać szkodliwe elementy.

· Na wszystkich komputerach oraz urządzeniach przenośnych stosuj skuteczne rozwiązanie bezpieczeństwa, takie jak Kaspersky Internet Security for Android czy Kaspersky Total Security.

Porady bezpieczeństwa dla firm:

· Ustanów zasady korzystania z oprogramowania innego niż firmowe. Edukuj pracowników na temat zagrożeń związanych z pobieraniem niedozwolonych aplikacji z niezaufanych źródeł.

· Zorganizuj dla personelu podstawowe szkolenie w zakresie higieny cyberbezpieczeństwa, ponieważ wiele ataków ukierunkowanych rozpoczyna się od phishingu lub innych rodzajów socjotechniki.

· Zainstaluj rozwiązania EDR oraz służące do ochrony przed atakami APT, które umożliwiają wykrywanie zagrożeń, badanie ich oraz łagodzenie skutków incydentów.

· Zapewnij swojemu zespołowi z centrum operacji bezpieczeństwa dostęp do najnowszej analizy zagrożeń oraz możliwość regularnego podnoszenia kwalifikacji poprzez szkolenia.

Informację można wykorzystać dowolnie z zastrzeżeniem podania firmy Kaspersky jako źródła. Wszystkie informacje prasowe są dostępne na stronie https://www.kaspersky.pl/nowosci.

Nadesłał:

Kaspersky Lab Polska Sp. z o.o.
http://kaspersky.pl

Wasze komentarze (0):

System komentarzy dostarcza serwis eGadki.pl

Ostatnio dodane artykuły:

HELIO Partnerem na Mistrzostwach Polski Dzieci z Domów Dziecka w Piłce Nożnej
W najbliższą sobotę 27 kwietnia na stadionie OSiR Bemowo w Warszawie odbędzie się wielkie święto polskiej piłki nożnej – XV Mistrzostwa Polski Dzieci z Domów Dziecka w Piłce Nożnej.

Biostymulacja kukurydzy. Nawożenie dolistne w fazie rozwoju liści
Kukurydza to jedna z kluczowych upraw dla rynku rolnego w Polsce. Ze względu na duże wymagania pokarmowe, wysoką podatność na stresy abiotyczne oraz ataki szkodników i patogenów, zaliczana jest do upraw wymagających przemyślanych zabiegów agrotechnicznych.

Spełnij swoje ślubne marzenia z marką SHEIN
Ślub to nie tylko wyjątkowe wydarzenie w życiu każdej pary, ale również czas, kiedy marzenia o pięknej ceremonii i eleganckich strojach stają się rzeczywistością. Sezon ślubny każdego roku przynosi za sobą nowe trendy i inspiracje.

więcej »

Najczęściej czytane artykuły:

Udogodnienia dla Instalatorów - w jakie urządzenia warto zainwestować?
Wraz z zapotrzebowaniem na efektywne systemy grzewcze, rośnie również potrzeba innowacyjnych rozwiązań ułatwiających pracę instalatorom. Zapewniają efektywność i oszczędność energii oraz zwiększają szybkość, precyzję i niezawodność procesu instalacji.

Wyjątkowe Potrawy na Świątecznym Stole (koszyk wielkanocny od HELIO)
Wielkanoc to czas, gdy stoły uginają się od pyszności i tradycyjnych potraw. Aby uczynić go jeszcze bardziej wyjątkowym, sięgnij po produkty od HELIO, które dodadzą niepowtarzalnego smaku i aromatu Twoim potrawom.

SEN DLA SKÓRY
SKUTECZNE FORMUŁY KOSMETYCZNE TO NIE WSZYSTKO. ODPOWIEDNIO DŁUGI SEN TO JEDEN Z FILARÓW PIELĘGNACJI. ABY UTRZYMAĆ SKÓRĘ W DOBREJ KONDYCJI NALEŻY ZADBAĆ O JEGO JAKOŚĆ I DŁUGOŚĆ. PODPOWIADAMY JAK ZADBAĆ O SKÓRĘ, ABY MAKSYMALNIE WYKORZYSTAĆ ZBAWIENNY WPŁYW SNU.

Jak wybrać gazową płytę grzewczą do małej kuchni?
Mała kuchnia może być wyzwaniem pod względem aranżacji wnętrza. Jednak odpowiedni dobór sprzętu – szczególnie gazowej płyty grzewczej – istotnie poprawia komfort gotowania i korzystnie wpływa na efektywne zagospodarowanie dostępnego miejsca. Na co zwrócić uwagę wybierając tego rodzaju sprzęt AGD?

PowerWalker zaprasza na Międzynarodowe Targi Zabezpieczeń SECUREX
PowerWalker, renomowana marka w dziedzinie zasilania awaryjnego i rozwiązań IT, ma zaszczyt zaprosić do wzięcia udziału w Międzynarodowych Targach Zabezpieczeń SECUREX.

Akcja Czysta Odra: Sprzątamy rzeki i chronimy klimat
Równo za dwa miesiące rusza trzecia edycja Akcji Czysta Odra. Tym razem chcemy zwrócić uwagę na rolę czystych rzek i mokradeł w kształtowaniu klimatu. Dołącz do tysięcy wolontariuszy i pomóż nam zmieniać świadomość i nawyki dla zdrowia planety.

Nawet 25 tys. zł za 1m2 mieszkania w górach. Karpacz i Wisła gonią Zakopane
Za 1m2 w zimowej stolicy Polski trzeba zapłacić średnio 24 946 zł. Nieco tańsze są Karpacz (ponad 20 tys. zł) i Wisła (ponad 19 tys. zł). Szklarska Poręba i Świeradów-Zdrój mają zbliżoną stawkę za 1m2 do Warszawy, czyli ponad 16 tys. zł.

Dwa lata wojny na Ukrainie - wpływ na Europę
Minęły dwa lata od rosyjskiej inwazji na Ukrainę, która spowodowała gwałtowny wzrost cen energii i inflacji, intensyfikując zacieśnianie polityki pieniężnej na całym świecie.

Przepis na owsiany pudding chia z kaszką i owocami – dla małych i dużych miłośników zdrowych przekąs
Roślinny pudding chia z mlekiem owsianym, kaszką owsianą i owocami to świetna opcja na śniadanie lub zdrową przekąskę w ciągu dnia. Jest to również doskonały sposób na wprowadzenie dzieciom zdrowych nawyków żywieniowych od najmłodszych lat.

Zjedz Francuskie Śniadanie z REJS
Wyborna kawa, kruche pieczywo, aromatyczne sery, a do tego prezentacja najlepszych systemów i akcesoriów meblowych – tak w skrócie wygląda program Francuskich Śniadań REJS. Kolejna runda rusza już w marcu.

Na co warto zwracać uwagę w czasie ciąży? Kilka ważnych zasad
W trakcie ciąży należy przestrzegać kilku kluczowych zasad by zadbać o zdrowie swoje i dziecka.

48 metrów komfortu do wynajęcia
Jedna z ostatnich realizacji pracowni KOiKO Design, to 48-metrowe mieszkanie do wynajęcia, zlokalizowane w jednej z atrakcyjniejszych dzielnic Dąbrowy Górniczej, na osiedlu Nowa Dąbrowa.

Kultura języka to nasza wizytówka
Warto zadbać o kulturę języka, którym się posługujemy. Jego jakość to nasza wizytówka, dlatego propagujmy poprawne wysławianie się i dbajmy o nasz język.

EFL zawarł w 2023 roku niemal dwa razy więcej umów z podpisem elektronicznym
Dokumentacja firmowa to obecnie jeden z najdynamiczniej cyfryzujących się obszarów działalności polskich przedsiębiorstw.

Czy Internet 5G jest dostępny dla wszystkich?
O Internecie 5G mówi się sporo. Ma on zarówno swoich entuzjastów, jak i przeciwników. Dlatego omawiając ten temat, należy powiedzieć czym jest to sławetne 5G. Wtedy można podjąć świadomą decyzję, czy warto inwestować w routery 5G, jakie są obecnie w ofercie wielu operatorów, jak np. te od firmy ZTE.

więcej »