Spyware FinFisher incorpora quatro níveis de ofuscação

Os investigadores da Kaspersky apresentaram uma investigação aprofundada sobre as mais recentes novidades introduzidas no spyware FinSpy para o Windows, Mac OS, Linux e outros developers.

Em comunicado, a Kaspersky especifica que esta análise, que demorou oito meses a ser realizada, realça quatro níveis de ofuscação e avança medidas antianálise, promovidas por quem desenvolveu os spywares, bem como a utilização de um bootkit UEFI que infeta as suas vítimas. Os resultados da investigação enfatizam a evasão das defesas, convertendo o FinFisher num dos spywares mais difíceis de detetar e reportar até à data. 

O FinFisher, também conhecido como “FinSpy” ou “Wingbird”, é uma ferramenta de vigilância e segurança que a Kaspersky monitoriza desde 2011. Este é capaz de reunir uma panóplia de credenciais, listas de documentos e ficheiros apagados, sendo igualmente capaz de transmitir em tempo real, gravando informação recolhida e acedendo ao microfone e câmara dos dispositivos. Os seus implantes no Windows foram detetados e investigados inúmeras vezes desde 2018, numa altura em que o FinFisher parecia ter desaparecido. 

Após esta fase, as soluções da Kaspersky começaram a detetar instalações suspeitas de aplicações legitimas, tais como o TeamViewer, o VLC Media Player e o WinRAR, que continham código malicioso não associado a um malware conhecido. A partir daqui, conseguiram descobrir um site em birmanês, que continha os instaladores infetados e amostras de FinFisher para Android – ajudando a identificar que estes tinham sido “trojanizados” a partir do mesmo spyware. Esta investigação acabou por levar os investigadores da Kaspersky a analisar em seguida, com mais rigor, o FinFisher. 

Contrariamente a versões anteriores do programa espião, em que o trojan era identificado na aplicação infetada, nas novas amostras existe uma proteção por parte de outros dois componentes: o de pré-validação não persistente e o de pós-validação. Num primeiro momento, o componente de pré-validação executa múltiplos parâmetros de segurança, para garantir que o dispositivo que está infetado não pertence a um investigador de segurança. E só num segundo momento, após esse escrutínio, é que o componente destinado à validação posterior, garante que a vítima infetada é a prevista. É nesse instante que o servidor ordena a implementação da plataforma troiana completa.

O FinFisher é fortemente ocultado por quatro ofuscadores elaborados de forma complexa. A principal função desta ofuscação é abrandar a análise do spyware. O trojan abarca, de igual modo, formas peculiares de obter informação, utilizando, por exemplo, o modo developer nos seus navegadores, de modo a intercetar a proteção do tráfego, através do protocolo HTTPS.

Os investigadores, neste âmbito, também descobriram uma amostra de FinFisher que substitui o gestor de arranque UEFI do Windows – um componente que lança o sistema operativo após o lançamento do firmware – por um malicioso. Esta forma de infeção acaba por permitir que os atacantes instalem um bootkit, sem a necessidade de contornar os parâmetros de segurança do firmware. As infeções UEFI são muito raras e geralmente difíceis de executar, na medida em que se destacam pela capacidade de evasão e persistência. Embora, neste caso particular, os atacantes não cheguem a infetar o firmware UEFI em si, atacando apenas o estádio inicial, o seu carácter é de igual modo furtivo, pois o módulo malicioso foi instalado num compartimento separado, que poderá controlar o processo de arranque do dispositivo infetado. 

“O fluxo de trabalho destinado a tornar o FinFisher inacessível aos investigadores de segurança é preocupante e, de certo modo, surpreendente. Parece que os developers colocaram muitos esforços na ofuscação e medidas de antianálise, assim como no próprio trojan. Como resultado, a sua capacidade para evadir qualquer deteção e análise faz com que este spyware seja particularmente difícil de rastrear e de detetar. O facto de este spyware ser implantado com extrema precisão e praticamente impossível de analisar, significa que as suas vítimas estão especialmente vulneráveis, o que faz com que os especialistas enfrentem o seguinte desafio: investir num volume avassalador de recursos para decompor cada e qualquer amostra. As ameaças complexas como a FinFisher realçam a importância da cooperação e partilha de conhecimento entre investigadores de segurança, bem como o investimento em novas soluções de segurança que visem combater estas ameaças”, comenta Igor Kuznetson, investigador principal de segurança da Equipa Global de Investigação e Análise da Kaspersky (GReAT), em comunicado.