Novas campanhas de espionagem do FinFisher: os ISP estão envolvidos?

Novas campanhas de espionagem do FinFisher: os provedores de Internet estão envolvidos?

Algumas destas variantes do FinFisher se propagam em versões trojanizadas de apps populares como WhatsApp, Skype e VLC Player. Além disso, o mecanismo de infecção tem fortes indícios de que há provedores de serviços de Internet (ISP) envolvidos.

Algumas destas variantes do FinFisher se propagam em versões trojanizadas de apps populares como WhatsApp, Skype e VLC Player. Além disso, o mecanismo de infecção tem fortes indícios de que há provedores de serviços de Internet (ISP) envolvidos.

Estão circulando novas campanhas de espionagem usando o FinFisher, um spyware também conhecido como FinSpy, que é comercializado para governos e suas agências em todo o mundo. Além de apresentar melhorias técnicas, algumas destas variantes usam um vetor de infecção sigiloso, previamente desconhecido, com fortes indícios de que há provedores de serviços de Internet (ISP) envolvidos.

Quando o usuário ao qual se pretende espionar está prestes a baixar os aplicativos (populares e legítimos), alterados pelos cibercriminosos, é redirecionado para uma versão desse aplicativo que está infectado com o FinFisher. No decorrer deste post explicaremos este processo de forma detalhada.

O FinFisher tem amplas capacidades de espionagem, como vigilância em tempo real por meio de webcans e microfones, keylogging e extração de arquivos das vítimas. No entanto, o que o diferencia de outras ferramentas deste tipo, são as contradições sobre as suas implementações. O FinFisher é comercializado como ferramenta destinada às agências governamentais com fins de controle e monitoramento em pesquisas, e se acredita que também tenha sido utilizado em regimes opressivos.

Descobrimos estas últimas variantes do FinFisher em sete países. No entanto, infelizmente, não podemos citá-los para não colocar ninguém em risco.

A infecção dos alvos

As campanhas anteriores do FinFisher usaram vários mecanismos de infecção, incluindo instalações manuais com acesso físico a dispositivos, exploits 0-day e ataques watering hole, ou seja, alterar os sites que as vítimas visitaram. Observamos este último comportamento em uma campanha que servia uma versão móvel do FinFisher, por exemplo.

A novidade (e mais preocupante) sobre as novas campanhas em termos de distribuição é o uso de um ataque Man-In-The-Middle, sendo provavelmente um ISP o “man in the middle” ou intermediário. Temos visto que este vetor foi utilizado em dois países nos quais os sistemas da ESET detectaram o último spyware do FinFisher. Nos cinco países restantes, as campanhas se valiam de vetores de infecção tradicionais.

O ataque começa com uma alteração no site de download oficial. Depois que o usuário clica no link de download, o navegador recebe um link modificado e é redirecionado a um pacote de instalação trojanizado, hospedado no servidor do cibercriminoso. Quando o programa é baixado e executado, não apenas instala o aplicativo legítimo que o usuário espera, mas também o spyware FinFisher.

Os aplicativos que temos visto utilizados para propagar o FinFisher são WhatsApp, Skype, Avast, WinRAR, VLC Player e alguns outros. É importante destacar que virtualmente qualquer aplicativo pode ser aproveitado desta forma.

Figura 1: Mecanismo de infecção das últimas variantes do FinFisher.

O redirecionamento é obtido por meio do comprometimento do link de download legítimo e substituído por um malicioso. O mesmo se entrega ao navegador do usuário por meio de um código de resposta de redirecionamento temporário HTTP 307, que indica que o conteúdo solicitado foi transladado temporariamente para uma nova URL. Todo o processo de redirecionamento é produzido sem o conhecimento dos usuários e é invisível por meio de uma simples olhada.

Figura 2: Mecanismo de infecção das últimas variantes do FinFisher (detalhado).

FinFisher, sempre tentando ficar fora do radar

A última versão do FinFisher também recebeu melhorias técnicas e os seus autores colocaram ainda mais foco no sigilo para permanecer fora do radar. O spyware usa virtualização de código personalizada para proteger a maioria dos componentes, incluindo o controlador em modo kernel. Além disso, o código está cheio de truques para complicar a desmontagem. Encontramos muitas instâncias de anti-sandboxing, anti-debugging, anti-virtualização e anti-emulação no spyware, o que complica muito mais a análise.

Depois de passar pelo primeiro nível de proteção (anti-desmontagem), nos aguarda o próximo (virtualização do código). O distribuidor da máquina virtual tem 4 controladores; quase toda a execução do spyware é realizada em um intérprete, que adiciona outra camada ao que se deve ser enfrentado durante a análise.

 

Figura 3: Visualização dos diversos controladores de máquinas virtuais que complicam a análise do código.

Em breve, publicaremos uma análise técnica mais detalhada da última variante do FinFisher em um white paper.

Tratamento especial para os usuários preocupados com a privacidade

Enquanto analisávamos as campanhas mais recentes, descobrimos uma amostra interessante: o spyware FinFisher se fazendo passar por um arquivo executável chamado “Threema”. Este arquivo pode ser utilizado com foco em usuários mais preocupados com a privacidade, considerando que o aplicativo legítimo Threema fornece mensagens instantâneas seguras com criptografia de ponta a ponta. O irônico é que quem caí no engano e baixa este aplicativo buscando resguardar a sua privacidade terminam sendo espionados.

Este foco especial em usuários que buscam privacidade não está limitado a comunicações de ponta a ponta, aparentemente. Durante nossa pesquisa, também encontramos um arquivo de instalação do TrueCrypt, o software de criptografia de disco que já foi bastante popular, trojanizado com o FinFisher.

Quem é o “homem no meio”?

Seria tecnicamente possível que o “homem” nestes ataques Man-In-The-Middle se situe em várias posições ao longo do caminho que vai desde o computador da vítima até o servidor legítimo (por exemplo, os hotsposts Wi-Fi comprometidos). No entanto, a dispersão geográfica das detecções da ESET das últimas variantes do FinFisher sugere que o ataque MITM está ocorrendo a um nível mais alto – um ISP surge como a opção mais provável.

Esta suposição é sustentada por vários fatos: primeiro, segundo materiais internos que foram publicados no WikiLeaks, o fabricante do FinFisher ofereceu uma solução chamada “FinFly ISP” para ser implementada em redes ISP com capacidades que coincidem com as necessárias para realizar tal ataque MITM.

Em segundo lugar, a técnica de infecção (por meio do redirecionamento HTTP 307) é implementada da mesma forma em ambos países afetados, o qual é muito provável a menos que seja desenvolvido e/ou proporcionado pela mesma fonte.

Em terceiro lugar, todos os alvos afetados dentro de um país estão utilizando o mesmo IPS. Por último, os ISP em pelo menos um dos países afetados usaram o mesmo método e formato de redirecionamento para o vazamento de conteúdo da Internet.

A implementação da técnica de ataque MITM a nível do ISP mencionada nos documentos vazados nunca foi revelado (até o momento). Caso seja confirmado, estas campanhas do FinFisher representariam um sofisticado e sigiloso projeto de vigilância sem precedentes, considerando a sua combinação de métodos e alcance.

Meu computador está infectado? Estou sendo espionado?

Todas as soluções de segurança da ESET detectam e bloqueiam esta ameaça com as assinaturas Win32/FinSpy.AA e Win32/FinSpy.AB. Por isso, os usuários que possuem um produto instalado e atualizado estão automaticamente protegidos. Do contrário, com a ferramenta gratuita ESET Online Scanner, é possível analisar o equipamento em busca deste spyware e eliminá-lo caso esteja presente.

IoCs
Detecções da ESET:
Win32/FinSpy.AA
Win32/FinSpy.AB
Redirecionamento:
HTTP/1.1 307 Temporary Redirect\r\nLocation:\r\nConnection: close\r\n\r\n
Lista de ’s que encontramos:
hxxp://108.61.165.27/setup/TrueCrypt-7.2.rar
hxxp://download.downloading.shop/pcdownload.php?a=dad2f8ed616d2bfe2e9320a821f0ee39
hxxp://download.downloading.shop/pcdownload.php?a=84619b1b3dc8266bc8878d2478168baa
hxxp://download.downloading.shop/pcdownload.php?a=ddba855c17da36d61bcab45b042884be
hxxp://download.downloading.shop/pcdownload.php?a=d16ef6194a95d4c8324c2e6673be7352
hxxp://download.downloading.shop/pcdownload.php?a=95207e8f706510116847d39c32415d98
hxxp://download.downloading.shop/pcdownload.php?a=43f02726664a3b30e20e39eb866fb1f8
hxxp://download.downloading.shop/pcdownload.php?a=cb858365d08ebfb029083d9e4dcf57c2
hxxp://download.downloading.shop/pcdownload.php?a=8f8383592ba080b81e45a8913a360b27
hxxp://download.downloading.shop/pcdownload.php?a=e916ba5c43e3dd6adb0d835947576123
hxxp://download.downloading.shop/pcdownload.php?a=96362220acc8190dcd5323437d513215
hxxp://download.downloading.shop/pcdownload.php?a=84162502fa8a838943bd82dc936f1459
hxxp://download.downloading.shop/pcdownload.php?a=974b73ee3c206283b6ee4e170551d1f7
hxxp://download.downloading.shop/pcdownload.php?a=cd32a3477c67defde88ce8929014573d
hxxp://download.downloading.shop/pcdownload.php?a=36a5c94ffd487ccd60c9b0db4ae822cf
hxxp://download.downloading.shop/pcdownload.php?a=0ebb764617253fab56d2dd49b0830914
hxxp://download.downloading.shop/pcdownload.php?a=f35e058c83bc0ae6e6c4dffa82f5f7e7
hxxp://download.downloading.shop/pcdownload.php?a=64f09230fd56149307b35e9665c6fe4c
hxxp://download.downloading.shop/pcdownload.php?a=b3cc01341cb00d91bcc7d2b38cedc064
hxxp://download.downloading.shop/pcdownload.php?a=5fc0440e395125bd9d4c318935a6b2b0
hxxp://download.downloading.shop/pcdownload.php?a=5ca93ad295c9bce5e083faab2e2ac97a
hxxp://download.downloading.shop/pcdownload.php?a=f761984bb5803640aff60b9bc2e53db7
hxxp://download.downloading.shop/pcdownload.php?a=5ca93ad295c9bce5e083faab2e2ac97a
hxxp://download.downloading.shop/pcdownload.php?a=514893fa5f3f4e899d2e89e1c59096f3
hxxp://download.downloading.shop/pcdownload.php?a=a700af6b8a49f0e1a91c48508894a47c
hxxp://download.downloading.shop/pcdownload.php?a=36a5c94ffd487ccd60c9b0db4ae822cf
hxxp://download.downloading.shop/pcdownload.php?a=a700af6b8a49f0e1a91c48508894a47c
hxxp://download.downloading.shop/pcdownload.php?a=395ce676d1ebc1048004daad855fb3c4
hxxp://download.downloading.shop/pcdownload.php?a=cd32a3477c67defde88ce8929014573d
hxxp://download.downloading.shop/pcdownload.php?a=49d6d828308e99fede1f79f82df797e9
hxxp://download.downloading.shop/pcdownload.php?a=d16ef6194a95d4c8324c2e6673be7352
Amostras (SHA-1)
ca08793c08b1344ca67dc339a0fb45e06bdf3e2f
417072b246af74647897978902f7d903562e0f6f
c4d1fb784fcd252d13058dbb947645a902fc8935
e3f183e67c818f4e693b69748962eecda53f7f88
d9294b86b3976ddf89b66b8051ccf98cfae2e312
a6d14b104744188f80c6c6b368b589e0bd361607
417072b246af74647897978902f7d903562e0f6f
f82d18656341793c0a6b9204a68605232f0c39e7
df76eda3c1f9005fb392a637381db39cceb2e6a8
5f51084a4b81b40a8fcf485b0808f97ba3b0f6af
4b41f36da7e5bc1353d4077c3b7ef945ddd09130
1098ba4f3da4795f25715ce74c556e3f9dac61fc
d3c65377d39e97ab019f7f00458036ee0c7509a7
c0ad9c242c533effd50b51e94874514a5b9f2219
a16ef7d96a72a24e2a645d5e3758c7d8e6469a55
c33fe4c286845a175ee0d83db6d234fe24dd2864
cfa8fb7c9c3737a8a525562853659b1e0b4d1ba8
9fc71853d3e6ac843bd36ce9297e398507e5b2bd
66eccea3e8901f6d5151b49bca53c126f086e437
400e4f843ff93df95145554b2d574a9abf24653f
fb4a4143d4f32b0af4c2f6f59c8d91504d670b41
f326479a4aacc2aaf86b364b78ed5b1b0def1fbe
275e76fc462b865fe1af32f5f15b41a37496dd97
df4b8c4b485d916c3cadd963f91f7fa9f509723f
220a8eacd212ecc5a55d538cb964e742acf039c6
3d90630ff6c151fc2659a579de8d204d1c2f841a

Discussão