Están circulando nuevas campañas de espionaje usando a FinFisher, el infame spyware también conocido como FinSpy que es comercializado a gobiernos y sus agencias en todo el mundo. Además de presentar mejoras a nivel técnico, algunas de estas variantes han estado usando un vector de infección sigiloso, previamente desconocido, con fuertes indicadores de que hay proveedores de servicios de Internet (ISP) involucrados.
Cuando el usuario al que se quiere espiar está por descargar una de las aplicaciones (populares y legítimas) que los atacantes alteraron, es redirigido a una versión de esa aplicación que está infectada con FinFisher. Más adelante explicaremos este proceso en detalle.
FinFisher tiene amplias capacidades de espionaje, como vigilancia en tiempo real a través de cámaras web y micrófonos, keylogging y extracción de archivos de las víctimas. Lo que la distingue de otras herramientas de este tipo, sin embargo, son las controversias alrededor de sus implementaciones. FinFisher se comercializa como herramienta destinada a agencias gubernamentales con fines de control y monitoreo en investigaciones, y se cree que también ha sido utilizada en regímenes opresivos.
Descubrimos estas últimas variantes de FinFisher en siete países; desafortunadamente, no podemos nombrarlos para no poner a nadie en peligro.
La infección de los objetivos
Las campañas anteriores de FinFisher usaron varios mecanismos de infección, incluyendo phishing dirigido, instalaciones manuales con acceso físico a dispositivos, exploits 0-day y ataques watering hole, es decir, alterar los sitios web que las víctimas objetivo seguramente visitarán. Observamos este último comportamiento en una campaña que servía una versión móvil de FinFisher, por ejemplo.
Lo novedoso (y más preocupante) sobre las nuevas campañas en términos de distribución es el uso de un ataque Man-In-The-Middle, siendo probablemente un ISP el "man in the middle" o intermediario. Hemos visto que este vector se utilizó en dos de los países en los que los sistemas de ESET detectaron el último spyware de FinFisher; en los cinco países restantes, las campañas se valían de vectores de infección tradicionales.
El ataque comienza con una alteración al sitio de descarga oficial. Luego de que el usuario hace clic en el enlace de descarga, su navegador recibe un enlace modificado y es redirigido a un paquete de instalación troyanizado, alojado en el servidor del atacante. Cuando se descarga y ejecuta el programa, no solo instala la aplicación legítima que el usuario esperaba, sino también al spyware FinFisher.
Las aplicaciones que hemos visto utilizadas para propagar FinFisher son WhatsApp, Skype, Avast, WinRAR, VLC Player y algunas otras. Es importante señalar que virtualmente cualquier aplicación puede ser aprovechada de esta forma.
Figura 1: Mecanismo de infección de las últimas variantes de FinFisher
La redirección se logra comprometiendo el enlace de descarga legítimo y reemplazándolo con uno malicioso. Este se entrega al navegador del usuario mediante un código de respuesta de redireccionamiento temporal HTTP 307, que indica que el contenido solicitado se ha trasladado temporalmente a una nueva URL. Todo el proceso de redirección se produce sin el conocimiento del usuario y es invisible a simple vista.
Figura 2: Mecanismo de infección de las últimas variantes de FinFisher, detallado
FinFisher, siempre tratando de permanecer fuera del radar
La última versión de FinFisher también recibió mejoras técnicas, y sus autores pusieron aún más foco en el sigilo para permanecer fuera del radar. El spyware usa virtualización de código personalizada para proteger la mayoría de sus componentes, incluyendo el controlador en modo kernel. Además, el código está lleno de trucos para complicar el desensamblado. Encontramos muchas instancias de anti-sandboxing, anti-debugging, anti-virtualización y anti-emulación en el spyware, todo lo cual complica mucho más el análisis.
Tras superar el primer nivel de protección (anti-desensamblado), nos aguarda el siguiente nivel (virtualización de código). El distribuidor de la máquina virtual tiene 34 controladores; casi toda la ejecución del spyware se realiza en un intérprete, que añade otra capa a la que hay que enfrentarse durante el análisis.
Figura 3: Visualización de los muchos controladores de máquinas virtuales que complican el análisis de código.
Próximamente publicaremos un análisis técnico más detallado de la última variante de FinFisher en un white paper.
Tratamiento especial para los usuarios preocupados por la privacidad
Mientras analizábamos las campañas recientes, descubrimos una muestra interesante: el spyware FinFisher haciéndose pasar por un archivo ejecutable llamado “Threema”. Dicho archivo podría utilizarse para apuntar a los usuarios más preocupados por la privacidad, dado que la aplicación legítima Threema provee mensajería instantánea segura con cifrado de punto a punto. Lo irónico es que quienes caigan en el engaño y descarguen esta aplicación buscando resguardar su privacidad terminarán siendo espiados.
Este foco especial en usuarios que buscan privacidad no está limitado a comunicaciones de punto a punto, aparentemente. Durante nuestra investigación, encontramos también un archivo de instalación de TrueCrypt, el software de cifrado de disco que alguna vez fue muy popular, troyanizado con FinFisher.
¿Quién es el "hombre en el medio"?
Sería técnicamente posible que el "hombre" en estos ataques Man-In-The-Middle se sitúe en varias posiciones a lo largo de la ruta que va desde la computadora de la víctima objetivo hasta el servidor legítimo (por ejemplo, los hotspots Wi-Fi comprometidos). Sin embargo, la dispersión geográfica de las detecciones de ESET de las últimas variantes de FinFisher sugiere que el ataque MITM está ocurriendo a un nivel más alto; un ISP surge como la opción más probable.
Esta suposición se sustenta en varios hechos: primero, según materiales internos filtrados que se publicaron en WikiLeaks, el fabricante de FinFisher ofreció una solución llamada “FinFly ISP” para ser implementada en redes ISP con capacidades que coincidan con las necesarias para realizar tal ataque MITM.
En segundo lugar, la técnica de infección (mediante el redireccionamiento HTTP 307) se implementa de la misma manera en ambos países afectados, lo cual es muy improbable a menos que sea desarrollado y/o proporcionado por la misma fuente.
En tercer lugar, todos los objetivos afectados dentro de un país están utilizando el mismo ISP. Por último, los ISP en al menos uno de los países afectados han usado el mismo método y formato de redirección para el filtrado de contenido de Internet.
La implementación de la técnica de ataque MITM a nivel del ISP mencionada en los documentos filtrados nunca se ha revelado (hasta ahora). Si se confirma, estas campañas de FinFisher representarían un sofisticado y sigiloso proyecto de vigilancia sin precedentes dada su combinación de métodos y alcance.
¿Se infectó mi computadora? ¿Me están espiando?
Todas las soluciones de seguridad de ESET detectan y bloquean esta amenaza bajo las firmas Win32/FinSpy.AA y Win32/FinSpy.AB, por lo que quienes tengan su producto instalado y actualizado están automáticamente protegidos. De lo contrario, con la herramienta gratuita ESET Online Scanner puedes analizar tu equipo en busca de este spyware y eliminarlo si está presente.
| IoCs |
|---|
| Detecciones de ESET: |
| Win32/FinSpy.AA |
| Win32/FinSpy.AB |
| Redirección: |
| HTTP/1.1 307 Temporary Redirect\r\nLocation: |
| Lista de |
| hxxp://108.61.165.27/setup/TrueCrypt-7.2.rar |
| hxxp://download.downloading.shop/pcdownload.php?a=dad2f8ed616d2bfe2e9320a821f0ee39 |
| hxxp://download.downloading.shop/pcdownload.php?a=84619b1b3dc8266bc8878d2478168baa |
| hxxp://download.downloading.shop/pcdownload.php?a=ddba855c17da36d61bcab45b042884be |
| hxxp://download.downloading.shop/pcdownload.php?a=d16ef6194a95d4c8324c2e6673be7352 |
| hxxp://download.downloading.shop/pcdownload.php?a=95207e8f706510116847d39c32415d98 |
| hxxp://download.downloading.shop/pcdownload.php?a=43f02726664a3b30e20e39eb866fb1f8 |
| hxxp://download.downloading.shop/pcdownload.php?a=cb858365d08ebfb029083d9e4dcf57c2 |
| hxxp://download.downloading.shop/pcdownload.php?a=8f8383592ba080b81e45a8913a360b27 |
| hxxp://download.downloading.shop/pcdownload.php?a=e916ba5c43e3dd6adb0d835947576123 |
| hxxp://download.downloading.shop/pcdownload.php?a=96362220acc8190dcd5323437d513215 |
| hxxp://download.downloading.shop/pcdownload.php?a=84162502fa8a838943bd82dc936f1459 |
| hxxp://download.downloading.shop/pcdownload.php?a=974b73ee3c206283b6ee4e170551d1f7 |
| hxxp://download.downloading.shop/pcdownload.php?a=cd32a3477c67defde88ce8929014573d |
| hxxp://download.downloading.shop/pcdownload.php?a=36a5c94ffd487ccd60c9b0db4ae822cf |
| hxxp://download.downloading.shop/pcdownload.php?a=0ebb764617253fab56d2dd49b0830914 |
| hxxp://download.downloading.shop/pcdownload.php?a=f35e058c83bc0ae6e6c4dffa82f5f7e7 |
| hxxp://download.downloading.shop/pcdownload.php?a=64f09230fd56149307b35e9665c6fe4c |
| hxxp://download.downloading.shop/pcdownload.php?a=b3cc01341cb00d91bcc7d2b38cedc064 |
| hxxp://download.downloading.shop/pcdownload.php?a=5fc0440e395125bd9d4c318935a6b2b0 |
| hxxp://download.downloading.shop/pcdownload.php?a=5ca93ad295c9bce5e083faab2e2ac97a |
| hxxp://download.downloading.shop/pcdownload.php?a=f761984bb5803640aff60b9bc2e53db7 |
| hxxp://download.downloading.shop/pcdownload.php?a=5ca93ad295c9bce5e083faab2e2ac97a |
| hxxp://download.downloading.shop/pcdownload.php?a=514893fa5f3f4e899d2e89e1c59096f3 |
| hxxp://download.downloading.shop/pcdownload.php?a=a700af6b8a49f0e1a91c48508894a47c |
| hxxp://download.downloading.shop/pcdownload.php?a=36a5c94ffd487ccd60c9b0db4ae822cf |
| hxxp://download.downloading.shop/pcdownload.php?a=a700af6b8a49f0e1a91c48508894a47c |
| hxxp://download.downloading.shop/pcdownload.php?a=395ce676d1ebc1048004daad855fb3c4 |
| hxxp://download.downloading.shop/pcdownload.php?a=cd32a3477c67defde88ce8929014573d |
| hxxp://download.downloading.shop/pcdownload.php?a=49d6d828308e99fede1f79f82df797e9 |
| hxxp://download.downloading.shop/pcdownload.php?a=d16ef6194a95d4c8324c2e6673be7352 |
| Muestras(SHA-1) |
| ca08793c08b1344ca67dc339a0fb45e06bdf3e2f |
| 417072b246af74647897978902f7d903562e0f6f |
| c4d1fb784fcd252d13058dbb947645a902fc8935 |
| e3f183e67c818f4e693b69748962eecda53f7f88 |
| d9294b86b3976ddf89b66b8051ccf98cfae2e312 |
| a6d14b104744188f80c6c6b368b589e0bd361607 |
| 417072b246af74647897978902f7d903562e0f6f |
| f82d18656341793c0a6b9204a68605232f0c39e7 |
| df76eda3c1f9005fb392a637381db39cceb2e6a8 |
| 5f51084a4b81b40a8fcf485b0808f97ba3b0f6af |
| 4b41f36da7e5bc1353d4077c3b7ef945ddd09130 |
| 1098ba4f3da4795f25715ce74c556e3f9dac61fc |
| d3c65377d39e97ab019f7f00458036ee0c7509a7 |
| c0ad9c242c533effd50b51e94874514a5b9f2219 |
| a16ef7d96a72a24e2a645d5e3758c7d8e6469a55 |
| c33fe4c286845a175ee0d83db6d234fe24dd2864 |
| cfa8fb7c9c3737a8a525562853659b1e0b4d1ba8 |
| 9fc71853d3e6ac843bd36ce9297e398507e5b2bd |
| 66eccea3e8901f6d5151b49bca53c126f086e437 |
| 400e4f843ff93df95145554b2d574a9abf24653f |
| fb4a4143d4f32b0af4c2f6f59c8d91504d670b41 |
| f326479a4aacc2aaf86b364b78ed5b1b0def1fbe |
| 275e76fc462b865fe1af32f5f15b41a37496dd97 |
| df4b8c4b485d916c3cadd963f91f7fa9f509723f |
| 220a8eacd212ecc5a55d538cb964e742acf039c6 |
| 3d90630ff6c151fc2659a579de8d204d1c2f841a |
