FinSpy Malware actualizado para propagarse a través de UEFI Bootkit

Los investigadores de Kaspersky han detallado una nueva actualización del software de vigilancia FinSpy, donde el malware espía puede propagarse a través del kit de arranque UEFI.

Descubierto por primera vez en 2011, el malware FinSpy ha crecido para agregar el kit de arranque UEFI a su arsenal. Cuando está infectado, puede registrar claves, credenciales y otros datos confidenciales de la comunicación y transportarlos al pirata informático.

Índice de contenidos

    Una actualización de FinSpy

    FinSpy, también conocido como FinFisher o Wingbird, es un malware de vigilancia descubierto por primera vez en 2011. Si bien era el implante de escritorio, una versión móvil fue descubierto un año después.

    Inicialmente, esto se propagó a través de un instalador troyano: software legítimo pero incluido con malware. Los usuarios que descarguen estos archivos y los descompriman instalarán el malware sin saberlo y se infectarán.

    En 2014, el equipo de FinSpy agregó soporte a Registro de arranque maestro (MBR) y luego encontró conexiones con el gobierno de Indonesia e infecciones en Myanmar. Igor Kuznetsov y Georgy Kucherin, investigadores del Security Analyst Summit (SAS) de Kaspersky, revelaron una versión mejorada de FinSpy.

    El software de vigilancia acaba de agregar Interfase Extensible de Firmware Unificado (UEFI) bootkit a sus vectores de ataque de escritorio. Como UEFI es un elemento esencial que maneja el funcionamiento del sistema operativo, es bueno que los atacantes de FinSpy pasen desapercibidos de una mejor manera.

    Con esto, pueden reemplazar el Administrador de arranque de Windows (bootmgfw.efi) con una versión maliciosa, que contiene dos archivos cifrados: un inyector de Winlogon y el cargador principal de FinSpy.

    Aunque el troyano estaba cifrado, se descifrará e inyectará en winlogon.exe una vez que el usuario inicie sesión. Si bien esto sucede al aprovechar UEFI en sistemas nuevos, los sistemas antiguos sin UEFI son atacados a través de MBR.

    Una vez dentro, FinSpy cumple con su deber previsto de espiar y robar datos como información del sistema operativo, claves de productos de Microsoft, medios almacenados localmente, credenciales de VPN, navegador y WiFi, historial de búsqueda, claves SSL, grabaciones de Skype, etc.

    Relacionados

    Deja una respuesta

    Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

    Subir