Uma campanha de vigilância utilizando uma nova variante do FinFisher, o infame spyware também conhecido como FinSpy, foi rastreado por pesquisadores de segurança.
O FinFisher possui amplas capacidades de espionagem, como vigilância ao vivo através de webcams e microfones, keylogging e roubo de arquivos. O que diferencia o FinFisher de outras ferramentas de vigilância, no entanto, são as controvérsias em torno de suas implantações.
O FinFisher é comercializado como uma ferramenta de aplicação da lei e acredita-se que tenha sido usado também por regimes opressivos.
Sete países foram afetados, e em dois deles, os maiores provedores de internet provavelmente estiveram envolvidos na infecção de alvos de vigilância, de acordo com pesquisadores de segurança da ESET.
O envolvimento suspeito de ISPs – se confirmado – seria o primeiro.
O FinFisher é comercializado como uma ferramenta de aplicação da lei, mas tem um histórico de implantação em países com uma reputação pobre de direitos humanos. O software oferece vigilância secreta através de keylogging e roubo de arquivos, bem como vigilância ao vivo através de webcams e microfones.
As campanhas da FinFisher são conhecidas por terem utilizado vários mecanismos de infecção, incluindo spearphishing, instalações manuais com acesso físico a dispositivos, explorações de 0-day e os chamados ataques de watering hole – sites de infectados que os alvos devem visitar .
O que há de novo – e mais preocupante – sobre as novas campanhas em termos de distribuição é o uso dos atacantes de um ataque man-in-the-midle com o “homem” no meio mais provável operando no nível do ISP – Internet Service Provider.
O ESET afirma ter identificado esta situação em dois dos países onde o spyware do FinFisher esta ativo, em, outros cinco países a infecção baseou-se em vetores tradicionais.
Segundo a ESET, quando o usuário – o alvo da vigilância – está prestes a baixar um dos vários aplicativos populares (e legítimos), eles são redirecionados para uma versão desse aplicativo infectado com o FinFisher.
O ataque começa com o usuário procurando por um dos aplicativos afetados em sites legítimos. Depois que o usuário clicar no link de download, seu navegador é exibido um link modificado e, portanto, redirecionado para um pacote de instalação trojanized hospedado no servidor do invasor. Quando baixado e executado, ele instala não apenas o aplicativo legítimo pretendido, mas também o spyware FinFisher incluído com ele.
As aplicações que vimos serem mal utilizadas para espalhar o FinFisher são WhatsApp, Skype, Avast, WinRAR, VLC Player e outras. É importante notar que praticamente qualquer aplicativo pode ser mal utilizado dessa maneira.
No ataque man-in-the-middle Seria tecnicamente possível que o “homem” fosse situado em várias posições ao longo da rota do computador do alvo para o servidor legítimo (por exemplo, hotspots Wi-Fi comprometidos).
No entanto, as observações do ESET apontam para uma dispersão geográfica sugere que o ataque MitM está acontecendo em um nível mais alto, provavelmente um ISP .
O ESET porta esta suposição baseados em uma série de fatos:
- De acordo com materiais vazados pela WikiLeaks, o fabricante FinFisher ofereceu uma solução chamada “FinFly ISP” para ser implantada em redes ISP com recursos que correspondem aos necessários para realizar tal MitM ataque.
- A técnica de infecção (usando o redirecionamento HTTP 307) é implementada da mesma maneira em ambos os países afetados, o que é muito improvável, a menos que tenha sido desenvolvido e / ou fornecido pela mesma fonte.
- Todos os destinos afetados dentro de um país estão usando o mesmo ISP.
- O mesmo método de redirecionamento e formato foram utilizados para a filtragem de conteúdo da internet por provedores de serviços de internet em pelo menos um dos países afetados.
A implantação da técnica de ataque MitM de nível ISP mencionada nos documentos da WikiLeaks nunca foi revelada – até agora.
Se confirmado, essas campanhas da FinFisher representariam um projeto de vigilância sofisticado e sigiloso sem precedentes em sua combinação de métodos e alcance.
por MindSec 22/09/2017
Deixe sua opinião!