Poznati špijunski softver FinFisher sada ima novu taktiku za infekciju Windows sistema

Vesti, 29.09.2021, 12:30 PM

Poznati špijunski softver FinFisher sada ima novu taktiku za infekciju Windows sistema

Komercijalni softver za nadzor FinFisher, poznat i kao FinSpy ili Wingbird, nadograđen je da inficira Windows uređaje UEFI (Unified Extensible Firmware Interface) bootkitom koristeći trojanizovani Windows Boot Manager.

FinFisher koji je otkriven 2011. godine, je set špijunskih alata za Windows, macOS i Linux koji je razvila britansko-nemačka firma Gamma International, koji se isporučuje policijskim i obaveštajnim agencijama.

FinFisher je dizajniran za prikupljanje korisničkih akreditiva, spiskova fajlova i izbrisanih fajlova, osetljivih dokumenata, snimanje pritiska na tastere, izvlačenje e-mailova iz Thunderbirda, Outlooka, Apple Maila i Icedovea, presretanje Skype kontakata, ćaskanja, poziva i poslatih fajlova i snimanje zvuka i videa pomoću mikrofona i veb kamere uređaja.

Dok je FinFisher ranije bio ubacivan na uređaje preko lažnih instalacionih fajlova legitimnih aplikacija, kao što su TeamViewer, VLC i WinRAR, u kojima je bio sakriven downloader, kasnija ažuriranja 2014. godine omogućila su infekcije putem Master Boot Record (MBR) bootkitova sa ciljem ubacivanja loadera tako da špijunski softver promakne antivirusnom softveru.

Najnovija funkcija koja je dodata je mogućnost primene UEFI bootkita za učitavanje FinFishera, a novi uzorci koje je analizirao Kaspersky pokazuju da je Windows UEFI boot loader zamenjen zlonamernom varijantom, kao i da su primenjene druge metode koje treba da spreče otkrivanje i uspore reverzni inženjering i analizu.

“Ovakav način infekcije omogućio je napadačima da instaliraju bootkit bez potrebe za zaobilaženjem bezbednosnih provera firmwarea”, zaključak je Globalnog tima za istraživanje i analizu (GReAT) kompanije Kaspersky nakon osmomesečne istrage, koji je podsetio da su “UEFI infekcije veoma retke i da ih je generalno teško izvesti”.

UEFI je interfejs firmwarea i poboljšanje u odnosu na stariji BIOS, koji osigurava integritet operativnog sistema kako bi se sprečilo da zlonamerni softver ometa proces pokretanja. Ali pošto UEFI olakšava učitavanje samog operativnog sistema, bootkit infekcije nisu samo otporne na ponovnu instalaciju OS-a ili zamenu hard diska, već su i neupadljive za bezbednosna rešenja koja rade u okviru operativnog sistema.

Ovo omogućava napadačima da kontrolišu proces pokretanja i zaobiđu sve bezbednosne odbrane. "Iako u ovom slučaju napadači nisu inficirali sam UEFI firmware, već u njegovoj sledećoj fazi pokretanja, napad je bio prikriven, jer je zlonamerni modul instaliran na zasebnoj particiji i mogao je da kontroliše proces pokretanja zaražene mašine", rekli su istraživači.


Prijavite se na našu mailing listu i primajte najnovije vesti (jednom dnevno) putem emaila svakog radnog dana besplatno:

Izdvojeno

Mozilla upozorila na dodatke za Firefox koji sprečavaju pregledač da preuzme sigurnosna ažuriranja

Mozilla upozorila na dodatke za Firefox koji sprečavaju pregledač da preuzme sigurnosna ažuriranja

Mozilla je u ponedeljak objavila da je blokirala dva zlonamerna dodatka za Firefox koje je instaliralo 455.000 korisnika a za koje je utvrđeno da zlo... Dalje

Sajber kriminalci imaju novu taktiku - evo kako i zašto preko lažnih firmi zapošljavaju stručnjake za bezbednost

Sajber kriminalci imaju novu taktiku - evo kako i zašto preko lažnih firmi zapošljavaju stručnjake za bezbednost

Kriminalna grupa FIN7 otvorila je firmu koju koristi za angažovanje stručnjaka za sajber bezbednost, koji na prevaru sajber-kriminalcima zapravo pom... Dalje

Podaci miliona korisnika Instagrama i TikToka bili javno dostupni više od mesec dana

Podaci miliona korisnika Instagrama i TikToka bili javno dostupni više od mesec dana

Zbog nezaštićenog ElasticSearch servera koji pripada analitičkom sajtu IGBlade.com podaci preuzeti sa najmanje 2,6 miliona profila korisnika društ... Dalje

Jutjuberi čuvajte se prevaranata koji nude saradnju

Jutjuberi čuvajte se prevaranata koji nude saradnju

Prevaranti nude kreatorima sadržaja na YouTubeu saradnju da bi im pomoću malvera koji kradu lozinke ukrali naloge, objavila je Googleova grupa za an... Dalje

Istraživanje: U poslednjih pet godina hakeri promenili način rada i ciljeve

Istraživanje: U poslednjih pet godina hakeri promenili način rada i ciljeve

Kompanija Kaspersky objavila je istraživanje o aktivnostima ruskih sajber-kriminalaca i kako su se njihov način rada i ciljevi promenili u poslednji... Dalje