El equipo de Kaspersky se ha puesto en marcha con una investigación que busca detectar de manera efectiva lo que realiza el software espía FinFisher.
Los investigadores de Kaspersky han realizado una investigación profunda sobre las actualizaciones más recientes del software espía FinFisher. Esta investigación duró ocho meses y descubrieron sus medidas de ofuscación en cuatro capas que son más avanzadas y lo hacen difícil de detectar.
Este programa espía ha sido vigilado por Kaspersky desde el 2011 y puede recopilar credenciales, listados de archivos y archivos borrados. También ha demostrado que es capaz de tener acceso a la cámara web y micrófono de un equipo, a pesar de que parecía haber desaparecido en 2018, ha regresado.
La ofuscación digital
- Las soluciones de Kaspersky empezaron a detectar instalaciones sospechosas de aplicaciones que tenían un código no asociado a un malware conocido. Luego de esto, descubrieron un sitio web en birmano que tenía instaladores infectados y muestras de FinFisher para Android.
- Esta nueva versión está protegida por un prevalidador no persistente y un posvalidador que ejecutan comprobaciones de seguridad para que el servidor pida la implementación de la plataforma completa. Los ofuscadores buscan ralentizar el análisis del software y emplea otras maneras de recopilar la información.
Propiedades de tareas programadas
- De igual manera, descubrieron que FinFisher reemplaza el cargador de arranque UEFI, un componente que inicia el sistema operativo luego de que se lance el firmware. Este tipo de infecciones son muy raras y difíciles de ejecutar, por lo que son sigilosos y se instala en una partición separada que controla el proceso de arranque.
Los programadores enfocaron sus esfuerzos, tanto en las medidas de ofuscación y anti análisis, así como en el propio troyano. Su capacidad para evadir cualquier detección y análisis hace que este software espía sea particularmente difícil de rastrear y detectar.
Igor Kuznetsov, investigador principal de seguridad del Equipo de Análisis e Investigación Global de Kaspersky.
Protección contra amenazas como FinFisher
A continuación, te mostramos algunas sugerencias que Kaspersky ha dado para protegerse de estas amenazas virtuales:
- Bajar las aplicaciones y programas desde sitios web confiables.
- Actualizar el sistema operativo y todo el software con regularidad.
- Desconfiar de los archivos adjuntos en el correo electrónico.
- No instalar softwares procedentes de fuentes desconocidas.
- Educar a los empleados sobre los riesgos de bajar aplicaciones no autorizadas de fuentes no confiables.
- Instalar soluciones anti-APT y EDR.
- Con los endpoints, los servicios dedicados pueden ayudar contra los ataques más prominentes.
