Los ISP pueden ayudar a los hackers a infectarlos con el software espía FinFisher

September 22, 2017

¿Estás seguro de que la versión de WhatsApp, Skype o VLC Player instalada en tu dispositivo es legítima?

 

 

 

Los investigadores de seguridad han descubierto que las descargas legítimas de varias aplicaciones populares como WhatsApp, Skype, VLC Player y WinRAR han sido comprometidas en el nivel de ISP para distribuir el infame FinFisher spyware también conocido como FinSpy.

FinSpy es una herramienta de vigilancia muy secreta que anteriormente se ha asociado con la compañía británica Gamma Group, una empresa que legalmente vende software de vigilancia y espionaje a agencias gubernamentales de todo el mundo.


El spyware cuenta con amplias capacidades de espionaje en una computadora infectada, incluyendo la realización en vivo de vigilancia en directo al activar sus cámaras web y micrófonos, grabar todo lo que la víctima escribe con un keylogger, interceptar llamadas Skype y exfiltrar archivos.

Para entrar en la máquina de un objetivo, FinFisher usualmente usa varios vectores de ataque, incluyendo phishing de lanza, instalación manual con acceso físico al dispositivo, explotaciones de día cero y ataques de agujeros de riego.

 

Su ISP puede ayudar a los piratas informáticos a espiar en usted


Sin embargo, un nuevo informe publicado hoy por ESET afirmó que sus investigadores habían descubierto nuevas campañas de vigilancia utilizando nuevas variantes de FinFisher en siete países, que viene con una aplicación legítima.

 

Pero, ¿cómo está sucediendo esto? Los atacantes están dirigidos a las víctimas usando un ataque de hombre en el medio (MitM), donde los proveedores de servicios de Internet (ISP) son más probable que funcione como el "hombre medio" -grupo de descargas de software legítimo con FinFisher.

 

"Hemos visto este vector utilizado en dos de los países en los que los sistemas ESET detectaron el último spyware de FinFisher (en los cinco países restantes, las campañas se han basado en vectores de infección tradicionales)", dicen los investigadores.

 

Documentos publicados anteriormente por WikiLeaks también indicaron que el fabricante de FinFisher también ofreció una herramienta llamada "FinFly ISP", que se supone que se despliegue en el nivel de ISP con las capacidades necesarias para realizar tal MitM ataque.

Además, la técnica de infección (utilizando el redireccionamiento HTTP 307) se implementó de la misma manera en los dos países afectados ESET descubrió ser objeto de las nuevas variantes de FinFisher. Sin embargo, la firma no nombró a los países afectados "como para no poner cualquier persona en peligro."


Otro hecho que apoya el ataque MitM a nivel ISP es que todos los objetivos afectados identificados por los investigadores dentro de un país estaban utilizando el mismo ISP.

 

"Por último, el mismo método y formato de redirección se han utilizado para el filtrado de contenido de Internet por parte de los proveedores de servicios de Internet en al menos uno de los países afectados", dice el informe de ESET.

 

Las aplicaciones más populares de las nuevas variantes de FinFisher incluyen WhatsApp, Skype, VLC Player, Avast y WinRAR, y los investigadores de ESET dijeron que "prácticamente cualquier aplicación podría ser mal utilizada de esta manera".

 

Aquí está cómo funciona el ataque:


Cuando los usuarios de destino buscan una de las aplicaciones afectadas en sitios web legítimos y hacen clic en su vínculo de descarga, se le entrega a su navegador una URL modificada que redirecciona a las víctimas a un paquete de instalación trojanized hospedado en el servidor del atacante.

Esto se traduce en la instalación de una versión de la aplicación legítima prevista junto con la herramienta de vigilancia.

 

"La redirección se logra por el enlace de descarga legítimo que está siendo reemplazado por uno malicioso", dicen los investigadores. "El enlace malicioso se entrega al navegador del usuario mediante un código de respuesta de estado de redireccionamiento temporal HTTP 307 que indica que el contenido solicitado se ha trasladado temporalmente a una nueva URL."

 

Todo este proceso de redirección, según los investigadores, es "invisible a simple vista" y se produce sin el conocimiento del usuario.

 

FinFisher Utilizando una gran cantidad de trucos nuevos


Los nuevos trucos empleados por la última versión de FinFisher le impidieron ser vistos por los investigadores.

Los investigadores también señalan que la última versión de FinFisher recibió varias mejoras técnicas en términos de sigilo, incluyendo el uso de virtualización de código personalizado para proteger la mayoría de sus componentes como el controlador en modo kernel.

También hace uso de trucos anti-desmontaje y numerosos trucos anti-sandboxing, anti-depuración, anti-virtualización y anti-emulación, con el objetivo de comprometer el software de cifrado de extremo a extremo y las herramientas de privacidad conocidas.

Una de estas aplicaciones de mensajería segura, llamada Threema, fue descubierta por los investigadores mientras analizaban las campañas recientes.

 

Fuente: http://thehackernews.com/2017/09/gamma-finfisher-hacking-tool.html

 

 

"El software espía de FinFisher se enmascara como un archivo ejecutable llamado" Threema ". Tal archivo podría ser usado para apuntar a usuarios preocupados por la privacidad, ya que la legítima aplicación de Threema proporciona mensajería instantánea segura con encriptación de extremo a extremo", dicen los investigadores. 

"Irónicamente, conseguir engañado en la descarga y ejecución del archivo infectado resultaría en que el usuario que busca privacidad es espiado".

Gamma Group aún no ha respondido al informe de ESET

Share on Facebook
Share on Twitter
Please reload

Please reload

Otras Noticias 

  • Black Facebook Icon
  • Black LinkedIn Icon

© Hack&Secure s.a.s