Não adianta formatar: malware criado para espiões controla computador antes de carregar o sistema

Capaz de espionar praticamente tudo dentro da máquina e de coletar diversas informações de usuário, o FinSpy foi atualizado para controlar computadores desde o sistema de boot.

Ou seja, ele age naquele processo de inicialização de uma máquina até o carregamento do sistema operacional, fazendo com que nem a formatação do computador resolva o problema.

Especialistas da Kaspersky, empresa de segurança digital, estudam o FinSpy desde 2011, quando seu modo de ação era por meio de instaladores adulterados de aplicativos legítimos, como TeamViewer, VLC e WinRAR. As atualizações subsequentes em 2014 permitiram infecções por meio de bootkits Master Boot Record (MBR), com o objetivo de injetar um carregador malicioso de uma maneira projetada para se passar por ferramentas de segurança.

Desde o boot

A nova capacidade do FinSpy é de infectar o bootkit da interface UEFI (Interface Unificada de Firmware Extensível) e substituir o bootloader do Windows por uma variante maliciosa para carregar o spyware. A interface de firmware UEFI é uma melhoria em relação ao sistema básico de entrada/saída (BIOS) com suporte para inicialização segura. Ela age na integridade do sistema operacional para garantir que nenhum malware interfira no processo de inicialização.

Como a UEFI também facilita o carregamento do próprio sistema operacional, as infecções de bootkit são resistentes à reinstalação do SO ou mesmo à formatação ou substituição da mídia – trocar o drive, seja disco rígido ou SSD. Além disso, elas são imperceptíveis para as soluções de segurança em execução no sistema operacional.

Um malware que dribla a segurança

Ao contrário das versões anteriores do FinSpy, que continham o cavalo de Tróia no aplicativo infectado imediatamente, a Kaspersky descobriu que as amostras de agora são protegidas por dois componentes: um pré-validador não persistente e um pós-validador.

Segundo o relatório da Kaspersky, “o primeiro componente executa várias verificações de segurança para garantir que o dispositivo que está infectando não pertence a um pesquisador de segurança. Somente quando as verificações são aprovadas, o componente pós-validador é fornecido pelo servidor”.

“Esse componente garante que a vítima infectada seja a vítima. Só então o servidor comandaria a implantação da plataforma de Trojan completa”, segue o relatório.

O FinSpy apresenta quatro obscurecedores complexos feitos sob medida para retardar a análise do spyware. Além disso, o trojan é capaz de usar o modo de desenvolvedor em navegadores para interceptar o tráfego protegido com o protocolo HTTPS.

Persistência em espionar

“As infecções por UEFI são muito raras e geralmente difíceis de executar, mas se destacam por sua evasão e persistência”, afirmam Igor Kuznetsov e Georgy Kucherin, pesquisadores da Kaspersky. Os especialistas em segurança consideram o FinSpy “um dos spywares mais difíceis de detectar até hoje”.

O FinSpy é trabalhado para coletar credenciais de usuário, listagens de arquivos, documentos confidenciais, gravar pressionamentos de tecla, desviar mensagens de e-mail. Além disso, o spyware é capaz de interceptar chats, chamadas e arquivos transferidos e capturar áudio e vídeo por meio de microfone e webcam de uma máquina.

Não foram hackers que inventaram isso. É malware profissionalmente desenvolvido pela empresa anglo-alemã Gamma International, sendo fornecido exclusivamente para agências de segurança pública e inteligência. Uma lista que inclui regimes autoritários como os do Egito e do Bahrein – só entre os que são conhecidos. Por isso, a empresa é alvo de denúncias de entidades de direitos humanos.

Fonte: https://olhardigital.com.br/
Por Ronnie Mancuzo, editado por André Lucena