FinFisher: bootkit espía para de Windows, MacOs y Linux

FinFisher (también conocido como FinSpy y Wingbird) es un software comercial desarrollado por Gamma Group para vigilancia electrónica. Un software espía masivo en toda regla que el desarrollador dice distribuirlo exclusivamente a agencias gubernamentales y a las fuerzas del orden en todo el mundo, pero las empresas de ciberseguridad también lo han detectado desde hace años en campañas maliciosas de spearphishing y la infraestructura de los proveedores de servicios de Internet (ISP).

Ahora, los analistas de Kaspersky han descubierto que puede infectar dispositivos Windows mediante un kit de arranque UEFI que se inyecta en el Administrador de arranque del sistema operativo. "Durante nuestra investigación, encontramos un kit de arranque UEFI que estaba cargando FinSpy. Todas las máquinas infectadas tenían el Administrador de arranque de Windows (bootmgfw.efi) reemplazado por uno malicioso", explican los investigadores de Kasperksy.

Funcionamiento en Windows, MacOS y Linux

La versión MacOS del malware no es tan complicada como la de Windows. Está escrito en Objective-C. Un OBFuscador similar a OLLVM se utiliza para proteger a FLANSPY para Mac. Además, los selectores de Objective-C, que podrían revelar algo de información sobre los nombres de los métodos, contienen basura.

La versión Linux de FLASPY está protegida con un OBFUSTOR similar a OLLVM. Tiene los mismos componentes que en la versión MacOS (cargador inicial, cargador de troyanos, orquestador y plugins).

Este método de infección permite a los atacantes instalar un bootkit sin la necesidad de eludir los controles de seguridad del firmware. Las infecciones UEFI son muy raras y generalmente difíciles de ejecutar, y se destacan por su evasión y persistencia. Y es que la instalación de malware en el firmware UEFI es altamente persistente, ya que se instala dentro del almacenamiento flash soldado a la placa base de las computadoras y hace imposible su limpieza reinstalando el sistema operativo e incluso reemplazando la unidad de almacenamiento.

Estos bootkits son códigos maliciosos instalados en el firmware invisibles para las soluciones de seguridad dentro del sistema operativo, ya que están diseñados para cargarse antes que todo lo demás, en la etapa inicial de la secuencia de arranque de un dispositivo. Los ataques documentados públicamente son bastantes raros (Lojax usado por el grupo ruso APT28 o desarrollos chinos como MosaicRegressor, TrickBoot y Moriya), pero como se puede entender son sumamente peligrosos.

Proporcionan a los atacantes control sobre el proceso de arranque de un sistema operativo y hacen posible sabotear sus defensas sin pasar por el mecanismo de arranque seguro. Las computadoras más antiguas, sin las BIOS avanzadas UEFI, también pueden infectarse usando tácticas similares a través del cargador de arranque MBR.

Los desarrolladores del software espía utilizan cuatro capas de medidas de ofuscación y anti-análisis diseñadas para hacer de FinFisher uno de los "programas espía más difíciles de detectar hasta la fecha". dicen desde Kaspersky. Sus esfuerzos fueron muy efectivos ya que las muestras de malware podían evadir casi cualquier intento de detección y eran virtualmente imposibles de analizar (cada muestra detectada por Kaspersky requirió cantidades "abrumadoras" de trabajo para descifrar).

"La cantidad de trabajo realizado para que FinFisher no sea accesible para los investigadores de seguridad es particularmente preocupante y algo impresionante", agregó Igor Kuznetsov, investigador principal de seguridad del Equipo de Análisis e Investigación Global de Kaspersky (GReAT). Parece que los desarrolladores pusieron al menos tanto trabajo en las medidas de ofuscación y anti-análisis como en el propio troyano. Como resultado, "sus capacidades para evadir cualquier detección y análisis hacen que este software espía sea particularmente difícil de rastrear y detectar".

Es altamente preocupante este desarrollo que, como otros camuflados de "seguridad nacional", espían masivamente a millones de usuarios y terminan usándose por los grandes grupos de ciberdelincuentes.

Fuente: Muy Seguridad

Suscríbete a nuestro Boletín