El spyware FinFisher incorpora cuatro niveles de ofuscación, infección UEFI y más

FinFisher, también conocido como FinSpy o Wingbird, es una herramienta de vigilancia que Kaspersky lleva rastreando desde 2011. Es capaz de recopilar credenciales, listados de archivos y archivos eliminados, así como documentos. También es capaz de transmitir en vivo, grabar datos y obtener acceso a una cámara web y un micrófono. Sus implantes en Windows fueron detectados e investigados varias veces hasta 2018, cuando FinFisher empezó a pasar desapercibido.

Posteriormente, las soluciones de Kaspersky detectaron instaladores sospechosos de aplicaciones legítimas como TeamViewer, VLC Media Player y WinRAR, que contenían código malicioso que no podía atribuirse a ningún malware conocido. Esto fue así hasta que un día descubrieron un sitio web en birmano que contenía los instaladores infectados y muestras de FinFisher para Android, lo que ayudó a identificar que estaban troyanizados con el mismo spyware. Este descubrimiento animó a los investigadores de Kaspersky a investigar más a fondo FinFisher.

A diferencia de las versiones anteriores del programa espía, que contenían el troyano en la aplicación infectada, las nuevas muestras estaban protegidas por dos componentes: un Pre-validador no persistente y un Post-Validador. El primer componente ejecuta múltiples comprobaciones de seguridad para garantizar que el dispositivo que está infectando no pertenece a un investigador de seguridad. Sólo cuando se superan dichas comprobaciones, el servidor proporciona el componente Post-Validador, que garantiza que la víctima infectada es la prevista. Es entonces cuando el servidor ordena el despliegue de la plataforma troyana completa.

FinFisher se oculta bajo cuatro complejos ofuscadores hechos a medida. La función principal de esta ofuscación es ralentizar el análisis del programa espía. Además, el troyano también emplea formas peculiares de recopilar información. Por ejemplo, utiliza el modo de desarrolladores en los navegadores para interceptar el tráfico protegido con un protocolo HTTPS.

Los investigadores también descubrieron una muestra de FinFisher que sustituía el gestor de arranque UEFI de Windows -un componente que lanza el sistema operativo tras el del firmware- por otro malicioso. Esta forma de infección permitía a los atacantes instalar un bootkit sin necesidad de saltarse los controles de seguridad del firmware. Las infecciones UEFI son muy raras y generalmente difíciles de ejecutar, destacan por su evasión y persistencia. Aunque en este caso los atacantes no infectaron el firmware UEFI en sí, sino su siguiente fase de arranque, el ataque fue especialmente sigiloso, ya que el módulo malicioso se instaló en una partición separada y pudo controlar el proceso de arranque de la máquina infectada.

"La cantidad de trabajo realizado para que FinFisher no sea accesible a los investigadores de seguridad es especialmente preocupante y en cierto modo impresionante. Los desarrolladores pusieron tanto trabajo en las medidas de ofuscación y anti análisis como en el propio troyano. Como resultado, sus capacidades para evadir cualquier detección y análisis hacen que este spyware sea particularmente difícil de rastrear y detectar. El hecho de que se despliegue con gran precisión y sea prácticamente imposible de analizar también significa que sus víctimas son especialmente vulnerables, y los investigadores se enfrentan a un reto especial: tener que invertir una cantidad abrumadora de recursos para desenredar todas y cada una de las muestras. Las amenazas complejas como FinFisher demuestran la importancia de que los investigadores de seguridad cooperen e intercambien conocimientos, así como de que inviertan en nuevos tipos de soluciones de seguridad que puedan combatir este tipo de amenazas", comenta Igor Kuznetsov, investigador principal de seguridad del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky.

Lea el informe completo sobre FinFisher en Securelist.

Para protegerse de amenazas como FinFisher, Kaspersky recomienda:

• Descargue sus aplicaciones y programas desde sitios web de confianza.
• No olvide actualizar el sistema operativo y todo el software regularmente. Muchos problemas de seguridad pueden resolverse instalando versiones actualizadas del software.
• Desconfíe de los archivos adjuntos al correo electrónico por defecto. Antes de hacer clic para abrir un archivo adjunto o seguir un enlace, considere cuidadosamente: ¿Proviene de alguien que conoce y en quien confía?¿lo esperaba?¿está limpio? Pase el ratón por encima de los enlaces y archivos adjuntos para ver cómo se llaman o a dónde van realmente.
• Evite instalar software de fuentes desconocidas. Puede contener, y a menudo lo hace, archivos maliciosos.
• Utilice una solución de seguridad sólida en todos los ordenadores y dispositivos móviles, como Kaspersky Internet Security para Android o Kaspersky Total Security.

Para la protección de las organizaciones, Kaspersky sugiere:

• Establecer una política para el uso de software no corporativo. Educar a los empleados sobre los riesgos de descargar aplicaciones no autorizadas de fuentes no confiables.
• Proporcionar al personal una formación básica en materia de ciberseguridad, ya que muchos ataques dirigidos comienzan con el phishing u otras técnicas de ingeniería social.
• Instalar soluciones anti-APT y EDR, que permitan descubrir y detectar amenazas, investigar y remediar a tiempo los incidentes. Proporcionar al equipo SOC acceso a la última información sobre amenazas y actualizarlo regularmente con formación profesional. Todo lo anterior está disponible en el marco de Kaspersky Expert Security.
• Junto con la protección adecuada de los puntos finales, los servicios dedicados pueden ayudar contra los ataques de alto perfil. El servicio Kaspersky Managed Detection and Response puede ayudar a identificar y detener los ataques en sus primeras etapas, antes de que los atacantes logren sus objetivos.