Los investigadores de Kaspersky han presentado una exhaustiva investigación sobre las novedades introducidas en el spyware FinSpy para Windows, Mac OS y Linux, y sus instaladores.

El análisis, que tardó ocho meses en completarse, pone de manifiesto la ofuscación de cuatro capas y las avanzadas medidas anti análisis empleadas por los desarrolladores del spyware, así como el empleo de un bootkit UEFI para infectar a las víctimas. Estos hallazgos demuestran el énfasis en la evasión de las defensas, lo que convierte a FinFisher en uno de los spywares más difíciles de detectar hasta la fecha.

FinFisher, también conocido como FinSpy o Wingbird, es una herramienta de vigilancia que Kaspersky lleva rastreando desde 2011. Es capaz de recopilar credenciales, listados de archivos y archivos eliminados, así como documentos. También es capaz de transmitir en vivo, grabar datos y obtener acceso a una cámara web y un micrófono. Sus implantes en Windows fueron detectados e investigados varias veces hasta 2018, cuando FinFisher empezó a pasar desapercibido. 

Posteriormente, las soluciones de Kaspersky detectaron instaladores sospechosos de aplicaciones legítimas como TeamViewer, VLC Media Player y WinRAR, que contenían código malicioso que no podía atribuirse a ningún malware conocido. Esto fue así hasta que un día descubrieron un sitio web en birmano que contenía los instaladores infectados y muestras de FinFisher para Android, lo que ayudó a identificar que estaban troyanizados con el mismo spyware. Este descubrimiento animó a los investigadores de Kaspersky a investigar más a fondo FinFisher. 

A diferencia de las versiones anteriores del programa espía, que contenían el troyano en la aplicación infectada, las nuevas muestras estaban protegidas por dos componentes: un Pre-validador no persistente y un Post-Validador. El primer componente ejecuta múltiples comprobaciones de seguridad para garantizar que el dispositivo que está infectando no pertenece a un investigador de seguridad. Sólo cuando se superan dichas comprobaciones, el servidor proporciona el componente Post-Validador, que garantiza que la víctima infectada es la prevista. Es entonces cuando el servidor ordena el despliegue de la plataforma troyana completa.

FinFisher se oculta bajo cuatro complejos ofuscadores hechos a medida. La función principal de esta ofuscación es ralentizar el análisis del programa espía. Además, el troyano también emplea formas peculiares de recopilar información. Por ejemplo, utiliza el modo de desarrolladores en los navegadores para interceptar el tráfico protegido con un protocolo HTTPS.

Ejemplo de propiedades de las tareas programadas

Los investigadores también descubrieron una muestra de FinFisher que sustituía el gestor de arranque UEFI de Windows -un componente que lanza el sistema operativo tras el del firmware- por otro malicioso. Esta forma de infección permitía a los atacantes instalar un bootkit sin necesidad de saltarse los controles de seguridad del firmware. Las infecciones UEFI son muy raras y generalmente difíciles de ejecutar, destacan por su evasión y persistencia. Aunque en este caso los atacantes no infectaron el firmware UEFI en sí, sino su siguiente fase de arranque, el ataque fue especialmente sigiloso, ya que el módulo malicioso se instaló en una partición separada y pudo controlar el proceso de arranque de la máquina infectada.

«La cantidad de trabajo realizado para que FinFisher no sea accesible a los investigadores de seguridad es especialmente preocupante y en cierto modo impresionante. Los desarrolladores pusieron tanto trabajo en las medidas de ofuscación y anti análisis como en el propio troyano. Como resultado, sus capacidades para evadir cualquier detección y análisis hacen que este spyware sea particularmente difícil de rastrear y detectar. El hecho de que se despliegue con gran precisión y sea prácticamente imposible de analizar también significa que sus víctimas son especialmente vulnerables, y los investigadores se enfrentan a un reto especial: tener que invertir una cantidad abrumadora de recursos para desenredar todas y cada una de las muestras. Las amenazas complejas como FinFisher demuestran la importancia de que los investigadores de seguridad cooperen e intercambien conocimientos, así como de que inviertan en nuevos tipos de soluciones de seguridad que puedan combatir este tipo de amenazas«, comenta Igor Kuznetsov, investigador principal de seguridad del Equipo Global de Investigación y Análisis (GReAT) de Kaspersky.