FinSpy: conheça o spyware capaz de controlar computadores infectados desde o processo de inicialização do sistema operacional - Programadores Brasil
Segurança Digital

FinSpy: conheça o spyware capaz de controlar computadores infectados desde o processo de inicialização do sistema operacional

3 Mins read

Há anos especialistas em segurança digital estudam o FinSpy, também conhecido como FinFisher ou Wingbird. O spyware, ou seja, um tipo de malware usado para espionagem, é composto por um conjunto de ferramentas de vigilância poderoso.

Assim, o malware é capaz de espionar praticamente tudo dentro do aparelho infectado, além de coletar diversas informações do usuário. Recentemente, o FinSpy passou por uma atualização, para controlar computadores desde o sistema de boot.

Ou seja, ele age no processo de inicialização da máquina até o carregamento do sistema operacional. Dessa forma, nem a formatação do computador é capaz de resolver o problema.

Desde 2011, especialistas da Kaspersky, empresa de segurança digital, estudam o FinSpy. Naquela época, seu modo de ação era por meio de instaladores adulterados de aplicativos legítimos, como TeamViewer, VLC e WinRAR.

Em 2014 o malware passou por atualizações que permitiram infecções por meio de bootkits Master Boot Record (MBR). O objetivo era injetar um carregador malicioso de uma maneira projetada para se passar por ferramentas de segurança.

Veja também: [+] Cupom de U$100 para criar seu Servidor na Digital Ocean

Ataque hacker
FinSpy é fornecido, exclusivamente, para agências de segurança pública e inteligência (Foto: Divulgação)

Nova atualização do Finspy permite infecção do bootkit da interface UEFI

Com a recente atualização, a nova capacidade do FinSpy é de infectar o bootkit da interface UEFI (Interface Unificada de Firmware Extensível) e substituir o bootloader do Windows por uma variante maliciosa para carregar o spyware.

No caso, a interface de firmware UEFI é uma melhoria em relação ao sistema básico de entrada/saída (BIOS) com suporte para inicialização segura.

A UEFI trabalha em todo o sistema operacional, garantindo que nenhum malware vá interferir no processo de inicialização. Além disso, a interface facilita o carregamento do próprio sistema operacional.

As infecções de bootkit são resistentes à reinstalação do SO ou mesmo à formatação ou substituição da mídia. Ou seja, trocar o drive, sendo ele disco rígido ou SSD. Outra questão é que essas infecções são imperceptíveis para as soluções de segurança em execução no sistema operacional.

As versões anteriores do FinSpy continham o Cavalo de Tróia no aplicativo infectado imediatamente. Mas, a Kaspersky descobriu que as amostras atuais tem dois componentes protetores: um pré-validador não persistente e um pós-validador.

Veja também: [+] 4 Dicas de Como Escolher Os Melhores Cursos de Programação.

Kaspersky publicou relatório com detalhes sobre a atuação do malware

De acordo com um relatório elaborado pela empresa, “o primeiro componente executa várias verificações de segurança para garantir que o dispositivo que está infectando não pertence a um pesquisador de segurança. Somente quando as verificações são aprovadas, o componente pós-validador é fornecido pelo servidor”.

Assim, após a identificação da vítima o servidor comanda a implantação da plataforma de Trojan completa. Ainda segundo a Kaspersky, o FinSpy apresenta quatro obscurecedores complexos, feitos sob medida, para retardar a análise do spyware.

Além disso, o trojan tem a capacidade de usar o modo de desenvolvedor em navegadores para interceptar o tráfego protegido com o protocolo HTTPS. “As infecções por UEFI são muito raras e geralmente difíceis de executar, mas se destacam por sua evasão e persistência”, destacaram Igor Kuznetsov e Georgy Kucherin, pesquisadores da Kaspersky.

Veja também: Confira os 3 Melhores Cursos para Aprender Python

Para os especialistas, o FinSpy é “um dos spywares mais difíceis de detectar até hoje”.

Na prática, o FinSpy coleta credenciais de usuário, listagens de arquivos, documentos confidenciais, grava pressionamentos de tecla e desvia mensagens de e-mail. Além disso, por meio do spyware é possível interceptar chats, chamadas e arquivos transferidos; e capturar áudio e vídeo, utilizando o microfone e webcam de uma máquina.

Ao contrário do que se pode imaginar, o FinSpy não é uma invenção dos hackers. A empresa anglo-alemã Gamma International é a responsável pelo desenvolvimento do malware. O spyware é fornecido, exclusivamente, para agências de segurança pública e inteligência. Entre elas, empresas de regimes autoritários como os do Egito e do Bahrein. A desenvolvedora do FinSpy é alvo de denúncias de entidades de Direitos Humanos.

*Com informações do Olhar Digital*


Deixe o seu comentário

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *