Giovedì, 02 Dicembre 2021

Seguici su

"La libertà al singolare esiste solo nelle libertà al plurale"
Benedetto Croce

comunicati

Lo spyware FinFisher migliora il suo arsenale con quattro livelli di offuscamento e tecniche di infezione UEFI

28 Settembre 2021

(Milano, 28 settembre 2021) - Milano, 28 settembre 2021 - I ricercatori Kaspersky hanno presentato un'indagine approfondita su tutti gli aggiornamenti più recenti introdotti nello spyware FinSpy per Windows, Mac OS, Linux e i suoi installer. Durante l’indagine, durata otto mesi, sono stati scoperti l'offuscamento a quattro livelli e le misure avanzate anti-analisi impiegate dagli sviluppatori dello spyware, nonché un bootkit UEFI usato per infettare le vittime. I risultati dello studio dimostrano quanto FinFisher sia, ad oggi, uno degli spyware più difficili da rilevare in quanto è in grado di eludere i controlli di sicurezza.

FinFisher, noto anche come FinSpy o Wingbird, è uno strumento di sorveglianza che Kaspersky monitora dal 2011. È in grado di raccogliere varie credenziali, directory, file cancellati, così come vari documenti, livestreaming o registrazione di dati e ottenere l'accesso a webcam e microfoni. Gli impianti Windows di FinFisher sono stati rilevati e analizzati più volte fino al 2018, quando poi è scomparso dai radar e si sono perse le tracce.

In seguito, le soluzioni di Kaspersky hanno rilevato installer sospetti di applicazioni legittime come TeamViewer, VLC Media Player e WinRAR, che contenevano un codice dannoso che non corrispondeva a nessun malware noto. Questo fin quando non è stato individuato un sito web in lingua birmana contenente gli installer infetti e i sample di FinFisher per Android che hanno consentito ai ricercatori di capire che erano stati infettati con lo stesso spyware. Questa scoperta ha poi spinto i ricercatori di Kaspersky ad indagare ulteriormente su FinFisher.

A differenza delle versioni precedenti dello spyware, che contenevano il Trojan nell'applicazione infetta, i nuovi sample erano protetti da due componenti: un Pre-Validator non persistente e un Post-Validator. Il primo componente eseguiva diversi controlli di sicurezza per assicurarsi che il dispositivo da infettare non appartenesse a un ricercatore di sicurezza. Solo dopo aver effettuato questi controlli preliminari, il server eseguiva il Post-Validator che si accertava di aver infettato la vittima prescelta. Solo dopo questi passaggi il server ordina la distribuzione della piattaforma Trojan completa.

FinFisher è offuscato da quattro complessi offuscatori personalizzati, la cui funzione è rallentare l'analisi dello spyware. Inoltre, il Trojan utilizza metodi peculiari per raccogliere informazioni. Ad esempio, all’interno dei browser usa la modalità sviluppatore per intercettare il traffico protetto con protocolli HTTPS.

I ricercatori hanno anche scoperto un campione di FinFisher che ha sostituito il bootloader UEFI di Windows - un componente che lancia il sistema operativo dopo l'avvio del firmware - con uno dannoso. Questo metodo di infezione ha permesso ai criminali informatici di installare un bootkit senza la necessità di bypassare i controlli di sicurezza del firmware. Le infezioni UEFI sono molto rare e generalmente difficili da eseguire, si distinguono per la loro evasività e persistenza. In questo caso gli attaccanti non hanno infettato il firmware UEFI stesso, ma la sua fase di avvio successiva. L'attacco è stato particolarmente furtivo poiché il modulo dannoso era stato installato su una partizione separata ed era in grado di controllare il processo di avvio del dispositivo infetto.

“Il lavoro che è stato fatto per rendere FinFisher inaccessibile ai ricercatori di sicurezza è davvero preoccupante e piuttosto impressionante. Gli sviluppatori hanno lavorato non solo al Trojan stesso, ma anche alla creazione di pesanti misure di offuscamento e anti-analisi per proteggerlo. Di conseguenza, questo spyware è particolarmente difficile da tracciare e rilevare grazie alle sue capacità di eludere qualsiasi indagine e analisi. Il fatto che questo malware venga distribuito con estrema precisione e sia praticamente impossibile da rilevare significa anche che le sue vittime sono particolarmente vulnerabili. Questo costituisce anche una grande sfida per i ricercatori: serve investire una quantità enorme di risorse per districare ogni singolo sample. Credo che minacce complesse come FinFisher dimostrino quanto sia importante la cooperazione e lo scambio di conoscenze tra i ricercatori di sicurezza, nonché l’investimento in nuovi tipi di soluzioni di sicurezza in grado di contrastare queste minacce", ha commentato Igor Kuznetsov, principal security researcher del Global Research and Analysis Team di Kaspersky (GReAT).

Il report completo su FinFisher è disponibile su Securelist.

Per proteggersi da minacce come FinFisher, Kaspersky consiglia di:

• Scaricare applicazioni e programmi solo da siti web affidabili.

• Aggiornare regolarmente i propri sistemi operativi e software. Molti problemi di sicurezza possono essere risolti installando le versioni aggiornate.

• Prestare attenzione agli allegati delle email. Prima di aprire un file o cliccare su un link, verificare che si tratti di un file atteso, sicuro e che arrivi da persone fidate. Passare il mouse su link e allegati per visualizzare il loro nome o la pagina web a cui reindirizzano.

• Non installare software provenienti da fonti sconosciute, in quanto possono contenere file dannosi.

• Utilizzare una soluzione di sicurezza affidabile su tutti i computer e dispositivi mobili, come Kaspersky Internet Security for Android o Kaspersky Total Security.

Per la protezione aziendale, Kaspersky suggerisce di:

• Mettere in atto politiche per l'utilizzo di software non aziendali. Informare i dipendenti sui rischi del download di applicazioni non autorizzate e provenienti da fonti non attendibili.

• Fornire al personale una formazione di base sulla sicurezza informatica, in quanto molti attacchi mirati iniziano con phishing o altre tecniche di ingegneria sociale.

• Installare soluzioni anti-APT ed EDR per rilevare le minacce, analizzarle e risolvere tempestivamente gli incidenti. Fornire al team SOC l'accesso alle informazioni più recenti sulle minacce informatiche, e fare aggiornamenti regolari attraverso una formazione professionale. Tutto ciò è disponibile all'interno del framework Kaspersky Expert Security.

• Insieme a un'adeguata protezione degli endpoint, i servizi dedicati possono aiutare contro gli attacchi di alto profilo. Il servizio Kaspersky Managed Detection and Response aiuta ad identificare e bloccare gli attacchi sin dalle fasi iniziali, prima che i criminali raggiungano i loro obiettivi.

Informazioni su Kaspersky

Kaspersky è un’azienda di sicurezza informatica e digital privacy che opera a livello globale fondata nel 1997. La profonda competenza di Kaspersky in materia di threat intelligence e sicurezza si trasforma costantemente in soluzioni e servizi innovativi per proteggere le aziende, le infrastrutture critiche, i governi e gli utenti di tutto il mondo. L'ampio portfolio di soluzioni di sicurezza dell'azienda include la protezione degli Endpoint leader di settore e una serie di soluzioni e servizi specializzati per combattere le minacce digitali sofisticate e in continua evoluzione. Più di 400 milioni di utenti sono protetti dalle tecnologie di Kaspersky e aiutiamo 240.000 clienti aziendali a proteggere ciò che è per loro più importante. Per ulteriori informazioni: https://www.kaspersky.it/

Seguici su:

https://twitter.com/KasperskyLabIT

http://www.facebook.com/kasperskylabitalia

https://www.linkedin.com/company/kaspersky-lab-italia

https://www.instagram.com/kasperskylabitalia/

https://t.me/KasperskyItalia

Contatto di redazione:

kaspersky@noesis.net

www.kaspersky.it

Commenti Scrivi/Scopri i commenti

Condividi le tue opinioni su Il Giornale d'Italia

Caratteri rimanenti: 400

Articoli Recenti

Più visti

x