FinFisher: O sistema de vigilância que o pode estar a espiar neste momento

0
22

Andam a surgir um pouco por toda a Internet novas campanhas maliciosas de vigilância que utilizam o FinFisher, o famoso spyware também conhecido como FinSpy e que é vendido aos governos e às respetivas agências em todo o mundo. Além de apresentar melhorias técnicas, algumas das novas variantes utilizam um vetor de infeção inteligente (e que até agora ainda não havia sido observado), que deixa adivinhar que um provedor de serviços na Internet possa estar envolvido.

O FinFisher possui amplas capacidades de espionagem, como vigilância ao vivo através de webcams e microfones, keylogging e exfiltração de arquivos. O que diferencia esta de outras ferramentas de vigilância, no entanto, são as controvérsias em torno das suas implementações. O FinFisher é comercializado como uma ferramenta que auxilia a aplicação da lei mas no entanto acredita-se que tenha sido usado também por regimes opressivos.
Descobrimos estas últimas variantes FinFisher em sete países; infelizmente, não podemos nomeá-los para não colocarmos ninguém em perigo.

A infeção dos alvos

As campanhas do FinFisher são conhecidas por terem utilizado vários mecanismos de infeção, incluindo spearphishing, instalações manuais com acesso físico a dispositivos, explorações de vulnerabilidades nos sistemas e contaminação de sites que os alvos costumam visitar.

O que é novo – e mais preocupante – acerca destas novas campanhas no que diz respeito à distribuição é que os atacantes utilizam um ataque man-in-the-middle, com este intermediário a operar normalmente ao nível do ISP. Já vimos este vetor a ser utilizado em dois dois países em que os sistemas ESET detetaram o mais recente spyware FinFisher.

Quando o utilizador – o alvo da vigilância – está preparado para descarregar uma das populares (e legítimas) aplicações, é redirecionado para uma versão dessa aplicação que foi infectada com o FinFisher.

As aplicações que até agora foram mal utilizadas para espalhar esta ameaça foram, entre outras, o WhatsApp, Skype, Avast, WinRAR, VLC Player, entre outras. É importa salientarmos que qualquer aplicação existente no mercado pode ser modificada desta forma.

O ataque começa com o utilizador a pesquisar por uma das aplicações afetadas em sites legítimos. No entanto, quando o utilizador dá um clique na ligação para download, é servido ao browser um link modificado que o redireciona para descarregar um pacote de instalação malicioso que se encontra alojado no servidor do atacante. Quando descarregado e executado, instala não só a aplicação legítima, mas também o spyware FinFisher.

O redirecionamento acontece quando a ligação legítima para download é substituída por outra maliciosa. Posteriormente, a ligação maliciosa é disponibilizada para o browser do utilizador através de um estado temporário de redirecionamento (HTTP 307) que indica que o conteúdo foi movido para outro lado. Todo este processo ocorre à revelia do utilizador e é totalmente invisível.

FinFisher: Tudo sobre voar sob o radar

A mais recente versão do FinFisher conta com melhorias a nível técnico, com os autores a terem dedicado grande parte do seu tempo a tornarem esta aplicação invisível. O Spyware utiliza código personalizado para proteger a grande maioria dos componentes, incluindo um controlador em modo kernel. Em paralelo, todo o código inclui ainda mecanismos anti-desmontagem. Encontrámos diversos sistemas anti-sandboxing, anti-debugging, anti-virtualização e anti-emulação no spyware. Tudo isto torna a análise ainda mais complicada.

Após termos ultrapassado o primeiro nível de proteção (anti-desmontagem), esperava-nos o próximo passo – a virtualização de código.

Tratamento especial para os utilizadores preocupados com a privacidade

Ao analisarmos as campanhas mais recentes, descobrimos uma amostra interessante: O spyware FinFisher mascara-se de ficheiro executável denominado “Threema”. Este ficheiro poderia estar especialmente dirigido a utilizadores preocupados com a privacidade, uma vez que a aplicação legítima com o mesmo nome, garante comunicações seguras ponto-a-ponto, graças à encriptação. Ironicamente, descarregar este ficheiro levava os utilizadores a ficarem infectados e não protegidos. Em paralelo, encontrámos também um ficheiro modificado da instalação do TrueCrypt que se dirige a quem pretende proteger todos os ficheiros que se encontram no disco.

Quem é o man-in-the-middle?

Tecnicamente é possível que o intermediário nestes ataques man-in-the-middle esteja situado em diversos pontos ao longo da rota que vai desde o computador alvo até ao servidor legítimo (ex. Hotspots Wi-Fi comprometidos). No entanto, a dispersão geográfica das deteções ESET alusivas às variantes do FinFisher sugerem que o ataque man-in-the-middle está a acontecer a um nível maior – um ISP surge como uma das opções mais prováveis.

Esta suposição é apoiada por diversos factos: Primeiro e segundo materiais internos publicados pela WikiLeaks, o criador do FinFisher disponibiliza uma solução denominada FinFly ISP que pode ser implementada nos provedores de serviços e oferece as capacidades necessárias para se efetuar num ataque MitM. Em segundo lugar, a técnica de infeção (através de um redirecionamento 307) é implementada da mesma forma em todos os países afetados. Em terceiro, todos os alvos utilizam o mesmo ISP. Finalmente, o mesmo método de redirecionamento e formato foi utilizado para a filtragem de conteúdos por parte dos provedores nos países afetados.

A implementação deste técnica de ataque ao nível do ISP nunca foi revelada até agora. Caso se confirme, estas campanhas irão representar uma campanha sofisticada e silenciosa que permite espiar quaisquer utilizadores.

Será que o meu computador está infectado?

Todos os produtos ESET detetam e bloqueiam esta ameaça como Win32/FinSpy.AA e Win32/FinSpy.AB.

DEIXE UMA RESPOSTA

Please enter your comment!
Please enter your name here

*