FinFisher, también conocido como FinSpy, posee el historial de haber sido utilizado en campañas de espionaje, tanto contra objetivos legítimos como contra la oposición política en países con regímenes opresivos. A pesar de ello, los últimos análisis rigurosos lidiaron con muestras tomadas desde 2010. Desde entonces, el spyware FinFisher recibió fuertes medidas antianálisis; aparentemente, este es también el motivo por el cual los más recientes reportes sobre FinFisher no ahondan en detalles técnicos. En uno de ellos, una respetable compañía de seguridad incluso admitió que, dado a la fuerte ofuscación, no era posible extraer los servidores C&C.

Habiendo descubierto una ola de campañas de espionaje en varios países a mediados de 2017, los investigadores de ESET profundizaron en las muestras de FinFisher. Para poder comenzar un análisis riguroso sobre el funcionamiento de dichas muestras, primero debieron superar todas las capas de protección de este spyware.

En este sentido, hemos publicado una guía (en inglés) para ayudar a los analistas de malware e investigadores en seguridad a superar las avanzadas herramientas de virtualización y antidesmontaje de FinFisher.

“La compañía detrás de FinFisher ha construido un negocio multimillonario alrededor de este spyware, por lo que no debería sorprendernos que pongan un mayor esfuerzo en mantenerse ocultos y generar confusión que la mayoría de los cibercriminales. Nuestro objetivo es ayudar a nuestros colegas a analizar a FinFisher y en consecuencia proteger a los usuarios de Internet de esta amenaza”, comentó Filip Kafka, analista de malware de ESET que lleva adelante el análisis de FinFisher.

Kafka espera que los creadores de FinFisher mejoren su protección para volver a hacer al spyware difícil de analizar. “Con sus enormes recursos, no hay duda de que FinFisher tendrá aún mejores herramientas que complejicen su análisis. Sin embargo, espero que sus nuevas medidas tengan un mayor costo de implementación, siendo a su vez más fáciles de quebrar para nosotros en una próxima oportunidad”, explicó.

La investigación de ESET sobre FinFisher se mantiene activa. En una primera etapa, los investigadores se enfocaron en el vector de infección utilizado en las campañas mencionadas. Tienen la fuerte creencia de que los proveedores de Internet han jugado un rol central en infectar a las víctimas con FinFisher.

Las presentaciones de Kafka acerca de estos hallazgos, junto con una breve observación de las capacidades antianálisis de FinFisher generaron interés, tanto en la Conferencia de Virus Bulletin como en la conferencia AVAR en 2017.