FinFisher (o FinSpy) es un spyware diseñado
para ser usado por gobiernos para llevar a cabo labores de vigilancia. Esta
última campaña parece apoyarse en los proveedores de servicio, según el último
aviso de la firma antivirus ESET.
FinFisher no es un spyware especial.
Al menos en el sentido técnico. Captura en directo de webcams, micrófonos,
pulsaciones de teclado, extracción de archivos...No tiene funcionalidades
extravagantes que otros spywares no tengan. Lo que llama la atención de
FinFisher sobre los demás es lo controvertido de sus métodos de distribución.
Métodos como spearphishing (phishing dirigido, en este caso para introducir un
troyano), instalación manual en dispositivos accesibles físicamente, exploits
0-day y ataques watering hole (se compromete una web confiable para infectar a visitantes
específicos).
Esta vez la particularidad viene
debida a que, según la investigación llevada a cabo por ESET, seha detectado la
distribución de nuevas variantes de FinSpy a nivel del proveedor de servicio de
Internet (ISP) utilizado por el usuario, a diferencia de los anteriores métodos
comentados.
Se pudo determinar que aquellos
usuarios que buscaban, por ejemplo, aplicaciones de mensajería segura como
Threema, o de cifrado de volúmenes o ficheros, como TrueCrypt, eran
internamente redirigidos mediante redirecciones de tipo 307 a descargas de esta
variante de spyware. Por tanto, se estaba realizando un Man-In-The-Middle a un
nivel mucho más bajo de lo habitual.
Esta capacidad de despliegue, sólo
posible para determinados países y sus operadores, reafirma y parece validar
los datos aportados por una reciente revelación en Wikileaks, sobre FinFly ISP,
o la distribución de FinFisher mediante ISPs cooperantes que introducen este
comportamiento en su servicio.
Más información:
- New FinFisher
surveillance campaigns: Internet providers involved? https://www.welivesecurity.com/2017/09/21/new-finfisher-surveillance-campaigns/
- FinFly ISP https://wikileaks.org/spyfiles4/documents/FinFly-ISP-Catalog.pdf
- FinFisher: un
Malware-as-a-service de uso ‘legal’ para gobiernos http://unaaldia.hispasec.com/2012/08/finfisher-un-malware-as-service-de-uso.html
Fuente: Hispasec