Najtrudniejszy do wykrycia spyware. FinFisher to zagrożenie dla każdego użytkownika
Badacze ds. cyberbezpieczeństwa donoszą o kolejnych zagrożeniach. Narzędzia do monitoringu stanowią realne zagrożenie, szczególnie ze względu na ich zdolności pozyskiwania dostępu do kamer i mikrofonów i dalszego przesyłania i rejestrowania danych.
29.09.2021 14:17
Zespół Kaspersky opublikował raport dotyczący spyware FinFisher, znanego także pod nazwami FinSpy lub Wingbird. Zgodnie z ich doniesieniami, stanowi ono szczególne zagrożenie dla wszystkich użytkowników, niezależnie od systemu na jakim działają.
Zagrożeni są wszyscy
Szkodliwe oprogramowanie zostało w ostatnim czasie wzbogacone o szereg nowości, które utrudniają jego wykrycie w systemie, zarówno na Windowsie, macOS-ie czy Linuksie. Dzięki prowadzonej przez osiem miesięcy analizie, badaczom udało się ujawnić stosowane przez twórców FinFishera metody zaciemniania kodu oraz inne mechanizmy przeciwdziałania analizie, w tym użycie modułu infekującego UEFI w maszynach ofiar.
Obserwowane już od 2011 roku szkodliwe oprogramowanie jest w stanie gromadzić różne dane uwierzytelniające, wykazy plików oraz różne dokumenty. Co gorsza, wykorzystywany jest przez hakerów do przesyłania strumieniowo lub rejestrowania danych pozyskanych za pomocą kamery internetowej i mikrofonu ofiary.
Ukrywanie szkodliwego kodu
Jak przekazał zespół Kaspersky, FinFisher został poddany zaciemnianiu przy pomocy czterech złożonych, niestandardowych narzędzi. Widać więc, że hakerom szczególnie zależało na ukryciu go i utrudnieniu analizy kodu specjalistom ds. cyberbezpieczeństwa. Wiadomo także, że stosuje nietypowe sposoby gromadzenia informacji, jak chociażby zawarty w przeglądarkach tryb programisty w celu przechwytywania ruchu chronionego przy użyciu protokołu HTTPS.
Zdaniem Igora Kuzniecowa, eksperta z Globalnego Zespołu ds. Badań i Analiz, oszuści w zaciemnianie oraz mechanizmy uniemożliwiające analizę włożyli co najmniej tyle samo pracy, co w stworzenie samego FinFishera. Dodał również, że precyzja, z jaką stosowany jest ten spyware sprawia, że jego ofiary są szczególnie bezbronne. Jest to szczególne wyzwanie dla badaczy, którzy stoją przed koniecznością zainwestowania ogromnej ilości zasobów w rozwikłanie każdej pojedynczej próbki.