FinSpy o malware que se instala no UEFI ou MBR
Segundo os especialistas este é o Malware mais difícil de ser detectado
O FinSpy, também conhecido como FinFisher ou Wingbird, é um spyware (tipo de malware usado para espionagem) composto por um conjunto poderoso de ferramentas de vigilância. Capaz de espionar praticamente tudo dentro da máquina e de coletar diversas informações de usuário, o FinSpy foi atualizado para controlar computadores desde o sistema de boot.
Ou seja, ele age naquele processo de inicialização de uma máquina até o carregamento do sistema operacional, fazendo com que nem a formatação do computador resolva o problema.
Como ocorre a infecção por UEFI
A nova capacidade do FinSpy é de infectar o bootkit da interface UEFI (Interface Unificada de Firmware Extensível) e substituir o bootloader do Windows por uma variante maliciosa para carregar o spyware. A interface de firmware UEFI é uma melhoria em relação ao sistema básico de entrada/saída (BIOS) com suporte para inicialização segura. Ela age na integridade do sistema operacional para garantir que nenhum malware interfira no processo de inicialização.
Além disso, elas são imperceptíveis para as soluções de segurança em execução no sistema operacional.
Quando o UEFI transfere a execução para o carregador malicioso, ele localiza primeiro o Gerenciador de Inicialização do Windows original. Ele é armazenado dentro do diretório efi\microsoft\boot\en-us\, com o nome composto por caracteres hexadecimais. Este diretório contém mais dois arquivos: o Winlogon Injector e o Trojan Loader. Ambos estão criptografados com RC4. A chave de descriptografia é o GUID de partição do sistema EFI, que difere de uma máquina para outra.
Como ocorre a infecção por MBR
Máquinas mais antigas que não suportam UEFI podem ser infectadas através do MBR. Quando a máquina da vítima é iniciada, o MBR infectado copia o código inicial do carregador do último megabyte do disco rígido para a memória mais alta disponível localizada antes do EBDA1. Este código conecta o BIOS 13h e 15h interrompe e, em seguida, lança o MBR original. A interrupção das 15h garante que o carregador do Windows não substitua demais o código copiado. Quando esta interrupção é chamada para obter o tamanho da área antes do EBDA, o gancho reduzirá a quantidade de memória disponível. Quanto ao gancho de interrupção de 13h (que gerencia informações de leitura do disco), ele remenda o carregador do sistema operacional quando é lido a partir do disco. Assim como no caso da infecção pelo EFI, as funções fisadas colocam seus próprios ganchos em outros estágios de carregamento do SISTEMA OPERACIONAL. O último gancho na corrente cria um fio no kernel que injeta a próxima etapa em winlogon.exe.
Projetado para espionar
Os especialistas em segurança consideram o FinSpy “um dos spywares mais difíceis de detectar até hoje”.
O FinSpy é trabalhado para coletar credenciais de usuário, listagens de arquivos, documentos confidenciais, gravar pressionamentos de tecla, desviar mensagens de e-mail. Além disso, o spyware é capaz de interceptar chats, chamadas e arquivos transferidos e capturar áudio e vídeo por meio de microfone e webcam de uma máquina.
Não foram hackers que inventaram isso. É malware profissionalmente desenvolvido pela empresa anglo-alemã Gamma International, sendo fornecido exclusivamente para agências de segurança pública e inteligência. Uma lista que inclui regimes autoritários como os do Egito e do Bahrein – só entre os que são conhecidos. Por isso, a empresa é alvo de denúncias de entidades de direitos humanos.
Segundo os pesquisadores agora o Malware faz validações para comprovar que realmente o usuário é usuário. O relatório da Kaspersky cita, “o primeiro componente executa várias verificações de segurança para garantir que o dispositivo que está infectando não pertence a um pesquisador de segurança. Somente quando as verificações são aprovadas, o componente pós-validador é fornecido pelo servidor”
Fonte securelist.com/Olhar Digital
