Lo spyware FinFisher, conosciuto anche con il nome di FinSpy viene distribuito orami da diversi anni e ha colpito le realtà più disparate infiltrandosi anche in paesi in cui vigono regimi oppressivi, anche se gli ultimi dati utili risalgono al 2010.
Da allora il malware è stato protetto dai propri creatori in modo sempre più accurato, motivo per cui le relazioni più recenti su FinFisher non forniscono dati tecnici approfonditi, tanto che una delle società che ha tentato di violarlo ha ammesso che non è stato possibile estrarre i server C&C.
A metà del 2017 sono state individuate diverse campagne di distribuzione di spyware, motivo per cui i ricercatori ESET hanno deciso di scavare in profondità nei campioni di FinFisher, abbattendone preventivamente tutte le protezioni e fornendo indicazioni a ricercatori di sicurezza e analisti su come superare le avanzate funzionalità di offuscamento e virtualizzazione di FinFisher.
“La società dietro al FinFisher ha costruito un business multimilionario attorno a questo spyware – quindi non sorprende che si siano maggiormente concentrati nel nasconderne e offuscarne il codice rispetto ai criminali informatici più comuni. Il nostro obiettivo è aiutare i nostri colleghi ad analizzare FinFisher e quindi proteggere gli utenti Internet da questa minaccia “, commenta Filip Kafka, ricercatore malware ESET che guida l’analisi su FinFisher.
Kafka si aspetta che i creatori di FinFisher aumentino e migliorino la protezione del loro software per renderne nuovamente difficile l’analisi: “Con le loro enormi risorse, non c’è dubbio che FinFisher riceverà funzionalità anti-analisi ancora migliori. Tuttavia, mi aspetto che da un lato queste nuove misure aggiuntive raggiungano costi sempre più elevati e che dall’altro migliori sensibilmente la nostra capacità di craccarlo la prossima volta “, dice.
La ricerca di ESET su FinFisher è tutt’ora in corso, nella prima fase i ricercatori di ESET si sono concentrati sul vettore di infezione utilizzato nelle campagne dello scorso anno e credono fortemente che i fornitori di servizi Internet abbiano svolto un ruolo chiave nell’infezione delle vittime con FinFisher.
Le presentazioni di Filip Kafka di queste scoperte insieme a una breve panoramica delle capacità anti-analisi di FinFisher hanno suscitato molto interesse alla conferenza sui Virus Bulletin e alla conferenza AVAR nel 2017.
1 Commento