Sono in corso delle nuove campagne di sorveglianza che usano il FinFisher, il noto spyware conosciuto anche come FinSpy e venduto ai governi e alle loro agenzie in tutto il mondo. Oltre a presentare dei miglioramenti tecnici, alcune di queste varianti utilizzano un vettore di infezione molto interessate e in precedenza invisibile, infatti alcuni importanti indizi sembrano confermare il coinvolgimento di alcuni Internet Provider (ISP).
FinFisher ha molteplici funzionalità di spionaggio, come la sorveglianza dal vivo attraverso webcam e microfoni, il keylogging, e l’esfiltrazione di file. Quello che però rende FinFisher diverso da altri strumenti di sorveglianza, sono le controversie legate alle sue modalità di implementazione. FinFisher è uno spyware commercializzato come strumento di applicazione della legge, acquistato dalle agenzie governative in tutto in mondo e che probabilmente viene usato anche da regimi oppressivi.
Abbiamo scoperto le ultime varianti di questo spyware in sette paesi che, per ragioni di sicurezza e riservatezza, i ricercatori di ESET hanno deciso di non nominare
Obiettivi dell’infezione
Le campagne di FinFisher sono note per usare diversi meccanismi di infezione incluso lo spear phishing, l’installazione manuale accedendo fisicamente sui dispositivi, gli exploit 0-day, e i cosiddetti attacchi watering hole – iniettandosi nei siti Web che le vittime prima o poi dovrebbero visitare (che per esempio, come abbiamo osservato, vengono utilizzati per diffondere una versione mobile del FinFisher).
Quello che è nuovo e più preoccupante delle nuove campagne in termini di distribuzione, è l’utilizzo degli attacchi man-in-the-middle con l’”uomo in mezzo” che molto probabilmente lavora a livello ISP. Abbiamo visto che questo vettore viene utilizzato in due dei paesi in cui i sistemi ESET hanno rilevato gli ultimi spyware FinFisher (nei cinque paesi rimanenti, le campagne si sono basate sui tradizionali vettori di infezione).
Quando l’utente – l’obiettivo da sorvegliare – decide di scaricare un’applicazione tra quelle più popolari (e legittime), viene dirottato verso una versione dello stesso software infettata con il FinFisher.
Tra le applicazioni che ci risultano essere usate impropriamente per diffondere il FinFisher ci sono WhatsApp, Skype, Avast, WinRAR, VLC Player e alter ancora.
L’attacco inizia quando l’utente cerca una delle applicazioni coinvolte sui siti Web legittimi. Dopo che l’utente clicca sul link per il download, il browser viene dirottato verso un pacchetto di installazione infetto ospitato sul server dell’attaccante. Questo dopo essere stato scaricato ed eseguito non solo installa l’applicazione legittima, ma anche lo spyware FinFisher.
Figura 1: Meccanismo di infezione delle ultime varianti di FinFisher
Il reindirizzamento viene effettuato sostituendo il legittimo collegamento per il download con uno pericoloso. Il collegamento dannoso viene inserito nel browser dell’utente tramite un codice di risposta HTTP 307 che indica un indirizzamento temporaneo in cui si riporta che il contenuto richiesto è stato spostato in un nuovo URL. L’intero processo di reindirizzamento avviene senza che l’utente se ne accorga.
Figura 2: Schema del meccanismo di infezione delle ultime varianti di FinFisher
FinFisher: informazioni sulle sue funzioni per non essere rilevato
Nell’ultima versione di FinFisher gli autori hanno introdotto diversi miglioramenti tecnici, concentrandosi soprattutto sulle funzionalità per evitare la rilevazione. Lo spyware usa un sistema di virtualizzazione del codice personalizzato per proteggere la maggior parte dei suoi componenti, incluso il driver in modalità kernel. Inoltre l’intero codice è pieno di trucchi anti disassemblaggio. Abbiamo identificato numerosi espedienti per intercettare gli ambienti in sanbox, i tentativi di debug, i sistemi di virtualizzazione e gli emulatori. Tutto ciò ne rende molto più complicata l’analisi.
Dopo aver superato il primo livello di protezione (anti disassemblaggio), ci attende il livello successivo – la virtualizzazione del codice. Il dispatcher della macchina virtuale dispone di 34 gestori; quasi l’intera fase di esecuzione dello spyware avviene in un interprete che aggiunge un altro livello da considerare durante l’analisi.
Figura 3: Visualizzazione dei molteplici gestori delle macchine virtuali che complicano l’analisi del codice
Il trattamento speciale riservato agli utenti che si preoccupano per la loro privacy
Durante l’analisi delle recenti campagne, abbiamo scoperto un campione interessante in cui lo spyware FinFisher è stato camuffato come un file eseguibile denominato “Threema”.
Tale file potrebbe essere utilizzato per colpire gli utenti attenti alla privacy, poiché l’applicazione legittima di Threema offre messaggistica istantanea sicura con crittografia end-to-end. Ironia della sorte, l’inganno nel download e nell’esecuzione del file infetto potrebbe coinvolgere proprio quegli utenti che pongono maggiore attenzione alla propria privacy.
A quanto pare questo particolare interesse verso gli utenti che cercano soluzioni di crittografia non è limitato solo agli strumenti di comunicazione. Durante la nostra ricerca, abbiamo anche trovato un file di installazione di TrueCrypt – un noto prodotto per la crittografia dei dischi – che è stato infettato con FinFisher.
Chi è l’uomo in mezzo?
Sarebbe tecnicamente possibile che l’uomo in questi attacchi Man-in-the-Middle si trovasse in varie posizioni lungo il percorso dal computer di destinazione al server legittimo (ad esempio, hotspot Wi-Fi compromessi). Tuttavia, le indicazioni geografiche emerse dalle rilevazioni ESET delle ultime varianti FinFisher, suggeriscono che l’attacco MitM stia operando a un livello più alto: tutto fa pensare che si tratti di un ISP.
Questa ipotesi è supportata da numerosi fatti: In primo luogo, secondo i materiali interni che sono stati pubblicati da WikiLeaks, il produttore FinFisher ha offerto una soluzione denominata “FinFly ISP” da distribuire su reti ISP con funzionalità corrispondenti a quelle necessarie per eseguire un questo tipo di attacco MitM. In secondo luogo, la tecnica dell’infezione (che usa il reindirizzamento HTTP 307) viene implementata allo stesso modo in entrambi i paesi colpiti, cosa che è molto improbabile a meno che non sia stata sviluppata e / o fornita dalla stessa fonte. In terzo luogo, tutti gli obiettivi interessati all’interno di un paese stanno utilizzando lo stesso ISP. Infine, lo stesso metodo e il formato di reindirizzamento sono stati utilizzati per il filtro di contenuti Internet da parte dei fornitori di servizi Internet in almeno uno dei paesi interessati.
L’utilizzo di attacchi MitM a livello ISP menzionato nei documenti trapelati non era mai stato rivelato almeno fino ad ora. Se confermato, queste campagne FinFisher rappresenterebbero un sofisticato e furtivo progetto di sorveglianza senza precedenti per combinazione di metodi e di portata.
Il mio computer è stato infettato? / Vengo spiato?
Tutti i prodotti ESET rilevano e bloccano questa minaccia come Win32/FinSpy.AA e Win32/FinSpy.AB. Utilizzando lo scanner online gratuito di ESET, potrete controllare la presenza di questo spyware nel vostro sistema e rimuoverlo in caso venga rilevato. I clienti ESET sono già automaticamente protetti.
IoCs
Nomi della rilevazione ESET:
Win32/FinSpy.AA
Win32/FinSpy.AB
Indirizzamento:
HTTP/1.1 307 Temporary Redirect\r\nLocation:<URL>\r\nConnection: close\r\n\r\n
Elenco degli indirizzi <URL> che abbiamo scoperto durante le nostre indagini:
hxxp://download.downloading.shop/pcdownload.php?a=dad2f8ed616d2bfe2e9320a821f0ee39 hxxp://download.downloading.shop/pcdownload.php?a=84619b1b3dc8266bc8878d2478168baa hxxp://download.downloading.shop/pcdownload.php?a=ddba855c17da36d61bcab45b042884be hxxp://download.downloading.shop/pcdownload.php?a=d16ef6194a95d4c8324c2e6673be7352 hxxp://download.downloading.shop/pcdownload.php?a=95207e8f706510116847d39c32415d98 hxxp://download.downloading.shop/pcdownload.php?a=43f02726664a3b30e20e39eb866fb1f8 hxxp://download.downloading.shop/pcdownload.php?a=cb858365d08ebfb029083d9e4dcf57c2 hxxp://download.downloading.shop/pcdownload.php?a=8f8383592ba080b81e45a8913a360b27 hxxp://download.downloading.shop/pcdownload.php?a=e916ba5c43e3dd6adb0d835947576123 hxxp://download.downloading.shop/pcdownload.php?a=96362220acc8190dcd5323437d513215 hxxp://download.downloading.shop/pcdownload.php?a=84162502fa8a838943bd82dc936f1459 hxxp://download.downloading.shop/pcdownload.php?a=974b73ee3c206283b6ee4e170551d1f7 hxxp://download.downloading.shop/pcdownload.php?a=cd32a3477c67defde88ce8929014573d hxxp://download.downloading.shop/pcdownload.php?a=36a5c94ffd487ccd60c9b0db4ae822cf hxxp://download.downloading.shop/pcdownload.php?a=0ebb764617253fab56d2dd49b0830914 hxxp://download.downloading.shop/pcdownload.php?a=f35e058c83bc0ae6e6c4dffa82f5f7e7 hxxp://download.downloading.shop/pcdownload.php?a=64f09230fd56149307b35e9665c6fe4c hxxp://download.downloading.shop/pcdownload.php?a=b3cc01341cb00d91bcc7d2b38cedc064 hxxp://download.downloading.shop/pcdownload.php?a=5fc0440e395125bd9d4c318935a6b2b0 hxxp://download.downloading.shop/pcdownload.php?a=5ca93ad295c9bce5e083faab2e2ac97a hxxp://download.downloading.shop/pcdownload.php?a=f761984bb5803640aff60b9bc2e53db7 hxxp://download.downloading.shop/pcdownload.php?a=5ca93ad295c9bce5e083faab2e2ac97a hxxp://download.downloading.shop/pcdownload.php?a=514893fa5f3f4e899d2e89e1c59096f3 hxxp://download.downloading.shop/pcdownload.php?a=a700af6b8a49f0e1a91c48508894a47c hxxp://download.downloading.shop/pcdownload.php?a=36a5c94ffd487ccd60c9b0db4ae822cf hxxp://download.downloading.shop/pcdownload.php?a=a700af6b8a49f0e1a91c48508894a47c hxxp://download.downloading.shop/pcdownload.php?a=395ce676d1ebc1048004daad855fb3c4 hxxp://download.downloading.shop/pcdownload.php?a=cd32a3477c67defde88ce8929014573d hxxp://download.downloading.shop/pcdownload.php?a=49d6d828308e99fede1f79f82df797e9 hxxp://download.downloading.shop/pcdownload.php?a=d16ef6194a95d4c8324c2e6673be7352
Campioni (SHA-1)
ca08793c08b1344ca67dc339a0fb45e06bdf3e2f
417072b246af74647897978902f7d903562e0f6f
c4d1fb784fcd252d13058dbb947645a902fc8935
e3f183e67c818f4e693b69748962eecda53f7f88
d9294b86b3976ddf89b66b8051ccf98cfae2e312
a6d14b104744188f80c6c6b368b589e0bd361607
417072b246af74647897978902f7d903562e0f6f
f82d18656341793c0a6b9204a68605232f0c39e7
df76eda3c1f9005fb392a637381db39cceb2e6a8
5f51084a4b81b40a8fcf485b0808f97ba3b0f6af
4b41f36da7e5bc1353d4077c3b7ef945ddd09130
1098ba4f3da4795f25715ce74c556e3f9dac61fc
d3c65377d39e97ab019f7f00458036ee0c7509a7
c0ad9c242c533effd50b51e94874514a5b9f2219
a16ef7d96a72a24e2a645d5e3758c7d8e6469a55
c33fe4c286845a175ee0d83db6d234fe24dd2864
cfa8fb7c9c3737a8a525562853659b1e0b4d1ba8
9fc71853d3e6ac843bd36ce9297e398507e5b2bd
66eccea3e8901f6d5151b49bca53c126f086e437
400e4f843ff93df95145554b2d574a9abf24653f
fb4a4143d4f32b0af4c2f6f59c8d91504d670b41
f326479a4aacc2aaf86b364b78ed5b1b0def1fbe
275e76fc462b865fe1af32f5f15b41a37496dd97
df4b8c4b485d916c3cadd963f91f7fa9f509723f
2 Comments