El malware FinFisher roba datos de equipos con Windows: se instala en el sector de arranque del disco duro y evade protecciones

El malware FinFisher roba datos de equipos con Windows: se instala en el sector de arranque del disco duro y evade protecciones
10 comentarios Facebook Twitter Flipboard E-mail

El software de vigilancia FinFisher se ha actualizado para infectar dispositivos Windows mediante un bootkit UEFI (Unified Extensible Firmware Interface).

Según lo que han descubierto desde empresas de seguridad como Kaspersky, este malware aprovecha un gestor de arranque de Windows troyanizado y esto supone un importante cambio en los vectores de infección que permite eludir que un sistema lo descubra o analice.

FinFisher (también conocido como FinSpy o Wingbird) es un conjunto de herramientas de software espía para Windows, macOS y Linux desarrollado por la empresa anglo-alemana Gamma International y suministrado exclusivamente a las fuerzas de seguridad y los organismos de inteligencia. Pero al igual que con Pegasus de NSO Group, el software también se ha utilizado para espiar a activistas en Bahréin en el pasado.

Qué información puede robar FinFisher en Windows

finfisher

Según las últimas informaciones, FinFisher está equipado para robar credenciales de usuario, listados de archivos, documentos sensibles, grabar pulsaciones de teclas, desviar mensajes de correo electrónico de Thunderbird, Outlook, Apple Mail e Icedove, interceptar contactos de Skype, chats, llamadas y archivos transferidos, y capturar audio y video ya que puede obtener acceso al micrófono y a la cámara web de un equipo.

La última característica que se ha añadido, según los últios descubrimientos, es la capacidad de desplegar un bootkit UEFI para cargar FinSpy, con nuevas muestras que cuentan con propiedades que sustituyen el cargador de arranque UEFI de Windows por una variante maliciosa y cuenta con "otros métodos de evasión de la detección para ralentizar la ingeniería inversa y el análisis".

"Esta forma de infección permitió a los atacantes instalar un bootkit sin necesidad de saltarse las comprobaciones de seguridad del firmware", afirmó el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky en sus conclusiones tras una investigación de ocho meses. "Las infecciones por UEFI son muy raras y generalmente difíciles de ejecutar, destacan por su evasión y persistencia".

La particularidad de UEFI

La UEFI es una interfaz de firmware y una mejora del sistema básico de entrada/salida (BIOS) con soporte para el arranque seguro, que garantiza la integridad del sistema operativo para asegurarse de que ningún malware ha interferido en el proceso de arranque.

Pero como la UEFI facilita la carga del propio sistema operativo, las infecciones de los bootkits no sólo son resistentes a la reinstalación del sistema operativo o a la sustitución del disco duro, sino que además pasan desapercibidas para las soluciones de seguridad que se ejecutan dentro del sistema operativo.

Imagen | The Hacker News

Comentarios cerrados
Inicio