FinFisher, également connu sous le nom de FinSpy, a l'habitude d'être utilisé dans des campagnes de surveillance, à la fois contre des cibles légitimes et contre l'opposition politique dans les pays aux régimes oppressifs. Malgré cela, les dernières analyses approfondies ont porté sur des échantillons datant d'aussi loin que 2010. Depuis lors, les logiciels espion FinFisher ont fait l'objet de mesures anti-analyses importantes; c'est probablement la raison pour laquelle les rapports les plus récents sur FinFisher ne donnent pas beaucoup de détails techniques. Dans l'un des rapports, une société de sécurité réputée a même admis qu'en raison d'un fort obscurcissement, il n'a pas été possible de faire l'extraction des serveurs C&C.

Après la découverte d'une vague de campagnes de surveillance dans plusieurs pays à l'été 2017, les chercheurs de l'ESET ont creusé profondément dans les échantillons de FinFisher. Pour pouvoir commencer une analyse approfondie du fonctionnement de ces échantillons récents, ils ont d'abord dû percer toutes les couches protectrices de FinFisher.

Afin d'aider les analystes de logiciels malveillants et les chercheurs en sécurité à surmonter l'obscurcissement et les fonctions de virtualisation anti-démontage avancées de FinFisher, les chercheurs d'ESET ont encadré quelques astuces intéresseantes dans un livre blanc intitulé Guide d'ESET pour le désobscurcissement et la dévirtualisation de FinFisher [En anglais].

La société derrière FinFisher a construit une entreprise de plusieurs millions de dollars autour de ce spyware - il n'est donc pas surprenant qu'ils mettent un effort beaucoup plus grand dans la dissimulation et l'obscurcissement que la plupart des cybercriminels communs. Notre objectif est d'aider nos pairs à analyser FinFisher et donc de protéger les internautes contre cette menace ", commente Filip Kafka, analyste en malware ESET qui dirige l'analyse de FinFisher.

Kafka s'attend à ce que les créateurs de FinFisher améliorent leurs protections pour rendre FinFisher difficile à analyser à nouveau. Avec leurs énormes ressources, il ne fait aucun doute que FinFisher bénéficiera de fonctionnalités anti-analyses encore meilleures. Cependant, je m'attends à ce que leurs mesures supplémentaires coûtent plus cher à mettre en œuvre tout en étant plus faciles à prendre en main la prochaine fois ", dit-il.

L'analyse de l'ESET sur FinFisher est en cours. Dans un premier temps, les chercheurs d'ESET se sont concentrés sur le vecteur infectieux utilisé dans les campagnes mentionnées. Ils croient fermement que les fournisseurs de services Internet ont joué un rôle clé dans l'infection des victimes par FinFisher.

Les présentations de Filip Kafka sur ces résultats ainsi qu'un bref aperçu des capacités antianalytiques de FinFisher ont suscité beaucoup d'intérêt lors de la conférence Virus Bulletin et de la conférence AVAR en 2017.