se instala en el sector de arranque del disco duro y evade protecciones

El software program de vigilancia FinFisher se ha actualizado para infectar dispositivos Home windows mediante un bootkit UEFI (Unified Extensible Firmware Interface).

Según lo que han descubierto desde empresas de seguridad como Kaspersky, este malware aprovecha un gestor de arranque de Home windows troyanizado y esto supone un importante cambio en los vectores de infección que permite eludir que un sistema lo descubra o analice.

FinFisher (también conocido como FinSpy o Wingbird) es un conjunto de herramientas de software program espía para Home windows, macOS y Linux desarrollado por la empresa anglo-alemana Gamma Worldwide y suministrado exclusivamente a las fuerzas de seguridad y los organismos de inteligencia. Pero al igual que con Pegasus de NSO Group, el software program también se ha utilizado para espiar a activistas en Bahréin en el pasado.

Qué información puede robar FinFisher en Home windows

Según las últimas informaciones, FinFisher está equipado para robar credenciales de usuario, listados de archivos, documentos sensibles, grabar pulsaciones de teclas, desviar mensajes de correo electrónico de Thunderbird, Outlook, Apple Mail e Icedove, interceptar contactos de Skype, chats, llamadas y archivos transferidos, y capturar audio y video ya que puede obtener acceso al micrófono y a la cámara internet de un equipo.

La última característica que se ha añadido, según los últios descubrimientos, es la capacidad de desplegar un bootkit UEFI para cargar FinSpy, con nuevas muestras que cuentan con propiedades que sustituyen el cargador de arranque UEFI de Home windows por una variante maliciosa y cuenta con “otros métodos de evasión de la detección para ralentizar la ingeniería inversa y el análisis”.

“Esta forma de infección permitió a los atacantes instalar un bootkit sin necesidad de saltarse las comprobaciones de seguridad del firmware”, afirmó el Equipo World de Investigación y Análisis (GReAT) de Kaspersky en sus conclusiones tras una investigación de ocho meses. “Las infecciones por UEFI son muy raras y generalmente difíciles de ejecutar, destacan por su evasión y persistencia”.

La particularidad de UEFI

La UEFI es una interfaz de firmware y una mejora del sistema básico de entrada/salida (BIOS) con soporte para el arranque seguro, que garantiza la integridad del sistema operativo para asegurarse de que ningún malware ha interferido en el proceso de arranque.

Pero como la UEFI facilita la carga del propio sistema operativo, las infecciones de los bootkits no sólo son resistentes a la reinstalación del sistema operativo o a la sustitución del disco duro, sino que además pasan desapercibidas para las soluciones de seguridad que se ejecutan dentro del sistema operativo.

Imagen | The Hacker Information

from WordPress https://ift.tt/3B2YGmu