2017-9-27
Os investigadores da ESET identificaram novas campanhas de ciberespionagem que que utilizam uma nova variante do FinFisher, um spyware também conhecido como FinSpy. Já foram afetados sete países, sendo que em dois deles, alguns dos principais provedores de Internet podem estar infetados
|
O FinFisher possui amplas capacidades de espionagem, como vigilância ao vivo através de webcams e microfones, keylogging e exfiltração de arquivos. O que diferencia esta de outras ferramentas de vigilância, no entanto, são as controvérsias em torno das suas implementações. O FinFisher é comercializado como uma ferramenta que auxilia a aplicação da lei, contudo, acredita-se que seja também utilizado por regimes opressores. As campanhas do FinFisher utilizam vários mecanismos de infeção, incluindo spearphishing, instalações manuais com acesso físico a dispositivos, explorações de vulnerabilidades nos sistemas e contaminação de sites que os alvos costumam visitar. O que é novo – e mais preocupante – acerca destas novas campanhas no que diz respeito à distribuição é que os atacantes utilizam um ataque man-in-the-middle, com este intermediário a operar normalmente ao nível do ISP. Quando o utilizador – o alvo da vigilância – está preparado para descarregar uma das populares (e legítimas) aplicações, é redirecionado para uma versão dessa aplicação que foi infetada com o FinFisher. As aplicações que até agora foram mal utilizadas para espalhar esta ameaça foram, entre outras, o WhatsApp, Skype, WinRAR, VLC Player, entre outras. O ataque começa com o utilizador a pesquisar por uma das aplicações afetadas em sites legítimos. No entanto, quando o utilizador dá um clique na ligação para download, é servido ao browser um link modificado que o redireciona para descarregar um pacote de instalação malicioso que se encontra alojado no servidor do atacante. Quando descarregado e executado, instala não só a aplicação legítima, mas também o spyware FinFisher. |
