O FinFisher, também conhecido como FinSpy, tem sido usado em campanhas de espionagem, tanto contra alvos legítimos como contra a oposição política em países com regimes opressivos. Apesar disso, as últimas análises dessa ameaça foram amostras colhidas em 2010. Desde então, o spyware FinFisher recebeu fortes medidas anti-análise. Aparentemente, esta é também a razão pela qual os últimos relatórios sobre o FinFisher não possuem tantos detalhes técnicos. Em uma dessas análises, uma respeitável empresa de segurança admitiu que, considerando a forte ofuscação, não foi possível extrair os servidores C&C.

Tendo descoberto uma onda de campanhas de espionagem em vários países em meados de 2017, pesquisadores da ESET investigaram as amostras do FinFisher. Para poder começar uma análise rigorosa sobre o funcionamento das referidas amostras, os profissionais tiveram que burlar todas as camadas de proteção desse spyware.

Nesse sentido, publicamos um guia (em inglês) para ajudar os analistas de malware e pesquisadores de segurança a superar as ferramentas avançadas de virtualização e anti-desmontagem do FinFisher.

"A empresa por trás do FinFisher construiu um negócio multimilionário em torno desse spyware, por isso não é nenhuma surpresa que tenham trabalhado mais para esconder e ofuscar a ameaça do que a maioria dos cibercriminosos. O nosso objetivo é ajudar os nossos colegas a analisar o FinFisher e, consequentemente, proteger os usuários da Internet contra essa ameaça", disse Filip Kafka, analista de malware da ESET que está realizando a análise do FinFisher.

Kafka acredita que os criadores do FinFisher irão melhorar a proteção da ameaça para tornar o spyware difícil de analisar novamente. "Com seus enormes recursos, não há dúvida de que o FinFisher terá ferramentas ainda melhores para tornar sua análise mais complexa. No entanto, espero que suas novas medidas tenham um custo de implementação bem maior, sendo, por sua vez, mais fáceis de burlar na próxima oportunidade", explicou.

A pesquisa da ESET sobre o FinFisher permanece ativa. Na primeira etapa, os pesquisadores se enfocaram no vetor de infecção usado nas campanhas mencionadas. Eles acreditam fortemente que os provedores de Internet têm desempenhado um papel fundamental na infecção das vítimas com o FinFisher.

As apresentações de Kafka sobre essas descobertas, juntamente com uma breve observação das capacidades de anti-análise do FinFisher, geraram interesse, tanto na Conferencia de Virus Bulletin quanto na conferência AVAR, em 2017.

Confira o guia (em inglês) publicado pela ESET: