Nyheter, Prylar, Android, Mobiler, Appnedladdningar, Android
Bloggar

FinSpy Malware uppdaterad för att spridas genom UEFI Bootkit

Kaspersky-forskare har detaljerat en ny uppdatering av FinSpys övervakningsprogram, där spionprogramvaran kan spridas genom UEFIs bootkit.

Skadlig programvara FinSpy upptäcktes först 2011 och har vuxit till att lägga till UEFI-bootkit till sin arsenal. När den är infekterad kan den logga nycklar, autentiseringsuppgifter och annan känslig data från kommunikation och transportera dem till hackaren.

En uppdatering till FinSpy

FinSpyäven känd som FinFisher eller Wingbird, är en övervakningsskadlig kod som först upptäcktes 2011. Även om det var skrivbordsimplantatet, en mobilversion upptäcktes ett år senare.

Detta spreds från början genom Trojanised installationsprogram – legitim programvara men medföljer skadlig programvara. Användare som laddar ner dessa filer och packar upp kommer att installera skadlig programvara omedvetet och bli infekterad.

Under 2014 lade FinSpy-teamet till stöd till Master Boot Record (MBR) och hittade senare kopplingar till den indonesiska regeringen och infektioner i Myanmar. Igor Kuznetsov och Georgy Kucherin, forskare vid Kasperskys Security Analyst Summit (SAS), avslöjade en uppgraderad version av FinSpy.

Övervakningsmaterialet har precis lagts till Unified Extensible Firmware Interface (UEFI) bootkit till dess skrivbordsangreppsvektorer. Eftersom UEFI är ett viktigt element som hanterar operativsystemet, är det bra för FinSpy-angripare att inte upptäckas på ett bättre sätt.

Med detta kan de ersätta Windows Boot Manager (bootmgfw.efi) med en skadlig version, som innehåller två krypterade filer – en Winlogon Injector och FinSpys primära laddare.

Även om trojanen var krypterad, kommer den att dekrypteras och injiceras i winlogon.exe när användaren loggar in. Även om detta sker genom att utnyttja UEFI i nya system, attackeras gamla system utan UEFI genom MBR.

Väl in, utför FinSpy sin avsedda uppgift att spionera och stjäla data som OS-information, Microsoft-produktnycklar, lokalt lagrade media, autentiseringsuppgifter för VPN, webbläsare och WiFi, sökhistorik, SSL-nycklar, Skype-inspelningar, etc.