Istraživači tvrtke Kaspersky detaljno su opisali novo ažuriranje nadzornog softvera FinSpy, gdje se zlonamjerni softver za špijuniranje može širiti putem UEFI bootkita.
Prvi put otkriven 2011., zlonamjerni softver FinSpy narastao je i svom arsenalu dodao UEFI bootkit. Kada je zaražen, može zabilježiti ključeve, vjerodajnice i druge osjetljive podatke iz komunikacije i prenijeti ih hakeru.
Ažuriranje za FinSpy
FinSpytakođer poznat kao FinFisher ili Wingbird, zlonamjerni je softver za nadzor prvi put otkriven 2011. Iako je bio implantat za radnu površinu, mobilna verzija otkrivena je godinu dana kasnije.
To se u početku širilo putem trojaniziranog instalacijskog programa – legitimnog softvera, ali u paketu sa zlonamjernim softverom. Korisnici koji preuzimaju te datoteke i otpakiraju nesvjesno će instalirati zlonamjerni softver i zaraziti se.
2014. FinSpy tim je dodao podršku za Glavni zapis za pokretanje (MBR) a kasnije je pronašao veze s indonezijskom vladom i infekcijama u Myanmaru. Igor Kuznetsov i Georgy Kucherin, istraživači na Kaspersky’s Security Analyst Summitu (SAS), otkrili su nadograđenu verziju FinSpyja.
Nadzorni softver je upravo dodan Unified Extensible Firmware sučelje (UEFI) bootkit na svoje napadačke vektore za radnu površinu. Kako je UEFI bitan element koji upravlja radom OS-a, dobro je da FinSpy napadači ostanu neotkriveni na bolji način.
Time mogu zamijeniti Windows Boot Manager (bootmgfw.efi) sa zlonamjernom verzijom, koja sadrži dvije šifrirane datoteke – Winlogon Injector i FinSpyjev primarni učitavač.
Iako je trojanac bio šifriran, bit će dekriptiran i ubačen u winlogon.exe nakon što se korisnik prijavi. Dok se to događa korištenjem UEFI-ja u novim sustavima, stari sustavi bez UEFI-ja napadaju se putem MBR-a.
Kada uđe, FinSpy obavlja svoju predviđenu dužnost špijuniranja i krađe podataka kao što su informacije o OS-u, Microsoftovi ključevi proizvoda, lokalno pohranjeni mediji, vjerodajnice za VPN, preglednik i WiFi, povijest pretraživanja, SSL ključevi, Skype snimke, itd.
