Najtrudniejszy do wykrycia spyware. FinFisher to zagrożenie dla każdego użytkownika

Zespół Kaspersky opublikował raport dotyczący spyware FinFisher, znanego także pod nazwami FinSpy lub Wingbird. Zgodnie z ich doniesieniami, stanowi ono szczególne zagrożenie dla wszystkich użytkowników, niezależnie od systemu na jakim działają.

Szkodliwe oprogramowanie zostało w ostatnim czasie wzbogacone o szereg nowości, które utrudniają jego wykrycie w systemie, zarówno na Windowsie, macOS-ie czy Linuksie. Dzięki prowadzonej przez osiem miesięcy analizie, badaczom udało się ujawnić stosowane przez twórców FinFishera metody zaciemniania kodu oraz inne mechanizmy przeciwdziałania analizie, w tym użycie modułu infekującego UEFI w maszynach ofiar.

Obserwowane już od 2011 roku szkodliwe oprogramowanie jest w stanie gromadzić różne dane uwierzytelniające, wykazy plików oraz różne dokumenty. Co gorsza, wykorzystywany jest przez hakerów do przesyłania strumieniowo lub rejestrowania danych pozyskanych za pomocą kamery internetowej i mikrofonu ofiary.

Jak przekazał zespół Kaspersky, FinFisher został poddany zaciemnianiu przy pomocy czterech złożonych, niestandardowych narzędzi. Widać więc, że hakerom szczególnie zależało na ukryciu go i utrudnieniu analizy kodu specjalistom ds. cyberbezpieczeństwa. Wiadomo także, że stosuje nietypowe sposoby gromadzenia informacji, jak chociażby zawarty w przeglądarkach tryb programisty w celu przechwytywania ruchu chronionego przy użyciu protokołu HTTPS.

Zdaniem Igora Kuzniecowa, eksperta z Globalnego Zespołu ds. Badań i Analiz, oszuści w zaciemnianie oraz mechanizmy uniemożliwiające analizę włożyli co najmniej tyle samo pracy, co w stworzenie samego FinFishera. Dodał również, że precyzja, z jaką stosowany jest ten spyware sprawia, że jego ofiary są szczególnie bezbronne. Jest to szczególne wyzwanie dla badaczy, którzy stoją przed koniecznością zainwestowania ogromnej ilości zasobów w rozwikłanie każdej pojedynczej próbki.