FinFisher, noto anche come FinSpy o Wingbird, è un pericoloso spyware per Windows, Mac OS, Linux e i suoi installer difficile da rilevare in quanto è in grado di eludere i controlli di sicurezza. I ricercatori Kaspersky hanno rilevato che lo strumento di sorveglianza è diventato ancora più insidioso e sofisticato: nella sua ultima variante, infatti, ha aggiunto al suo arsenale di tecniche di offuscamento un bootkit UEFI per alterare e dirottare il boot manager del BIOS e infettare “indisturbato” le macchine Windows.
Una volta avuto accesso alla macchina, lo spyware FinFisher è in grado di raccogliere non solo credenziali, directory e file cancellati, ma anche vari documenti, live streaming o registrazione di dati e guadagnare l’accesso a webcam e microfoni.
Indice degli argomenti
Le tecniche di FinFisher per nascondersi agli anti-spyware
Kaspersky ha scoperto che FinFisher ha introdotto l’offuscamento a quattro livelli e sfrutta misure evolute di anti-analisi, in modo tale da “mascherare la propria presenza e nascondersi ai radar”, ci conferma Paolo Dal Checco, consulente informatico forense.
“L’offuscamento a più livelli”, continua Dal Checco, “consente allo spyware di evitare di farsi rilevare dai ricercatori di sicurezza: non si comporta da codice malevolo, avendo imparato a nascondersi a chi lo testa, eludendo gli strumenti di analisi. Vuole colpire solo le vittime da infettare”.
L’importante, però, è proteggersi: “fra i consigli per difendersi”, spiega Dal Checco, “continua ad essere valido il consiglio di evitare di installare applicazioni software esterne agli store del vendor ufficiale, perché sono app che richiedono lo sblocco del dispositivo e, una volta abilitate, infettano il device o compiono la truffa. Bisogna invece essere estremamente cauti con gli allegati alle email: il consiglio di non scaricare allegati da mittenti sconosciuti è sempre valido, purché ciò non significhi un via libera incondizionato con i mittenti noti, inquanto alcuni malware si veicolano come se fossero inviati da contatti conosciuti. Dunque, prima di effettuare il download da un mittente fidato, è meglio accertarci che ci abbia davvero inviato foto e allegati, e non si tratti invece di un malware che si comporta come se fosse inviato da un contatto in rubrica”.
“Per fortuna”, conclude l’analista, “dall’indagine di Kaspersky, emerge che gli smartphone sono ancora piuttosto robusti, a meno che gli utenti non introducano jailbreak e rooting, sempre da evitare. Sui dispositivi mobili, ci proteggono il costante aggiornamento del sistema operativo e l’update delle app scaricate solo dagli store ufficiali. Gli aggiornamenti possono far scomparire eventuali malware, purché non si effettuino download fuori dagli store di vendor affidabili e sicuri.”
Le indagini di Kaspersky sul nuovo spyware
Gli impianti Windows di FinFisher, spesso rilevati e analizzati fino al 2018, avevano fatto perdere le tracce, finché le soluzioni di Kaspersky si sono imbattute in installer sospetti di applicazioni legittime come TeamViewer, VLC Media Player e WinRAR, che però contenevano un codice dannoso che non corrispondeva a nessun malware noto.
In seguito, Kaspersky ha trovato un sito web in lingua birmana contenente gli installer infetti e i sample di FinFisher per Android che hanno consentito ai ricercatori di comprendere che erano stati infettati con lo stesso spyware.
Le versioni precedenti dello spyware contenevano il trojan nell’applicazione infetta, invece i nuovi sample sono hanno la peculiarità di essere protetti da due componenti: un Pre-Validator non persistente e un Post-Validator. Il primo componente esegue diversi controlli di sicurezza per garantirsi che il dispositivo da infettare non appartenga a un ricercatore di sicurezza. Solo dopo aver svolto i controlli preliminari, il server esegue il Post-Validator che si accerta di aver infettato la vittima prescelta.
Solo in seguito a questi passaggi, il server procede alla distribuzione della piattaforma trojan completa.
FinFisher al microscopio
FinFisher è in grado di nascondersi ai radar dei tool antimalware grazie a quattro complessi offuscatori personalizzati, la cui funzione consiste nel rallentare l’analisi dello spyware. Inoltre, il trojan sfrutta metodi particolari per raccogliere informazioni. Per esempio, all’interno dei browser usa la modalità sviluppatore per intercettare il traffico protetto con protocolli HTTPS.
Un campione di FinFisher ha sostituito il bootloader UEFI di Windows – un componente che lancia il sistema operativo dopo l’avvio del firmware – con uno malevolo. Questo metodo di infezione ha permesso ai criminali informatici di installare un bootkit senza dover bypassare i controlli di sicurezza del firmware.
Le infezioni UEFI sono molto rare e generalmente complesse da eseguire, si distinguono per la loro evasività e persistenza. In questo caso, gli attaccanti non hanno infettato il firmware UEFI stesso, ma la sua fase di avvio successiva. L’attacco è stato furtivo e insidioso, dal momento che il modulo dannoso era stato installato su una partizione separata ed era in grado di controllare il processo di avvio del dispositivo infetto.
“Il lavoro che è stato fatto per rendere FinFisher inaccessibile ai ricercatori di sicurezza è davvero preoccupante e piuttosto impressionante. Gli sviluppatori hanno lavorato non solo al Trojan stesso, ma anche alla creazione di pesanti misure di offuscamento e anti-analisi per proteggerlo. Di conseguenza, questo spyware è particolarmente difficile da tracciare e rilevare grazie alle sue capacità di eludere qualsiasi indagine e analisi”, ha commentato Igor Kuznetsov, principal security researcher del Global Research and Analysis Team di Kaspersky (GReAT), il cui report completo su FinFisher è disponibile su Securelist.
E conclude: “Il fatto che questo malware venga distribuito con estrema precisione e sia praticamente impossibile da rilevare significa anche che le sue vittime sono particolarmente vulnerabili. Questo costituisce anche una grande sfida per i ricercatori: serve investire una quantità enorme di risorse per districare ogni singolo sample. Credo che minacce complesse come FinFisher dimostrino quanto sia importante la cooperazione e lo scambio di conoscenze tra i ricercatori di sicurezza, nonché l’investimento in nuovi tipi di soluzioni di sicurezza in grado di contrastare queste minacce.”
I consigli per proteggersi da FinFisher
Per difendersi da una minaccia insidiosa come lo spyware FinFisher, si consiglia di:
- scaricare applicazioni e programmi solo da siti web affidabili;
- aggiornare regolarmente i propri sistemi operativi e software (molti problemi di sicurezza possono essere risolti installando le versioni aggiornate);
- prestare attenzione agli allegati delle email: prima di aprire un file o cliccare su un link, verificare che si tratti di un file atteso, sicuro e che non arrivi da persone sconosciute. Ma non è sufficiente che il mittente sia noto e fidato: meglio verificare che il mittente abbia davvero inviato un allegato, verificando anche il suo stile di scrittura (se improvvisamente un contatto con cui vi date del lei, vi dà del tu, non si tratta del mittente reale) e poi passare il mouse su link e allegati per visualizzare il loro nome o la pagina web a cui reindirizzano;
- non installare software provenienti da fonti sconosciute, in quanto possono contenere file dannosi;
- utilizzare una soluzione di sicurezza affidabile su tutti i computer e dispositivi mobili.
In ambito aziendale, i dipendenti devono essere istruiti con formazione idonea per evitare il phishing e altre tecniche di ingegneria sociale. Conviene proteggere gli endpoint e installare soluzioni anti-APT ed EDR per rilevare le minacce, analizzarle e risolvere tempestivamente gli incidenti.
Il team di sicurezza aziendale, inoltre, deve avere l’accesso alle informazioni più recenti sulle minacce informatiche e fare aggiornamenti regolari attraverso una formazione professionale. In ambito enterprise, esistono servizi ad hoc per aiutare contro gli attacchi di alto profilo, identificandoli e bloccandoli fin dalle fasi iniziali, prima che i cyber-criminali raggiungano i loro obiettivi.
