-->
Portada del sitio » Nacional » FinFisher: un Malware-as-a-service de uso ‘legal’ para (...)

FinFisher: un Malware-as-a-service de uso ‘legal’ para gobiernos

Martes 21 de agosto de 2012, por Guido Rosales Uriona - GRU


La mejor manera de denominar a FinFisher es como una suite de servicios de malware dedicados al espionaje industrial o gubernamental, ofrecido de manera "legal" pero no a todo el público. Que se sepa, hay indicios del uso de esta herramienta desde el año 2011, relacionada sobre todo con objetivos árabes tales como Egipto, Baréin, Turkmenistan, Etiopía, Dubái... muy similares a los atacados por otras herramientas "no legales" como Flame, Stutnet, Duqu o el recientemente descubierto Gauss.

La diferencia, aparte de posibles conjeturas sobre la creación de las mencionadas herramientas por los gobiernos institucionales de EEUU o China, es que FinFisher es una software creado en Reino Unido y que puede ser utilizada por cualquier gobierno o corporación previo pago de sus servicios. Funciona en el modo "Malware-as-a-service" (MaaS), en el que no es necesario tener grandes conocimientos ni infraestructuras para poder manejar los datos recopilados por la herramienta. Las capacidades y funcionalidades se "alquilan" como si de un servicio se tratara.

Este concepto se ha visto en el mundo del malware desde hace años. Tuvo su explosión con Zeus en 2006. El malware (además de permitir la creación del troyano con las características deseadas) permitía definir usuarios sin privilegios que se conectarían al panel simplemente para recopilar datos durante un tiempo determinado. En definitiva, estaba pensado para poder alquilar la botnet durante un tiempo. Con FinFisher, este concepto se ha profesionalizado.

Características

Técnicamente y según la información disponible, FinFisher proporciona diferentes módulos encargados de la monitorización y espionaje de distintas partes del sistema infectado: interceptación de conversaciones (Skype, Messenger), capturas de pantalla, recolección de datos introducidos por el usuario, etc.. apuntando todo ello al módulo denominado ’FinSpy’. Según diferentes fuentes, se distribuiría mediante técnicas de descarga simulando actualizaciones oficiales de software (se habla de iTunes en algunos casos) o mediante adjuntos infectados en emails, utilizando técnicas de enmascaramiento de extensiones (como la técnica de aprovechar el carácter Unicode "Right to Left").

En Virustotal, se identifican varias muestras como FinSpy.A y FinSpy.B, con un alto ratio de detección. Por ejemplo esta muestra se subió como proceso inyectado a Firefox.exe: https://www.virustotal.com/file/81531ce5a248aead7cda76dd300f303dafe6f1b7a4c953ca4d7a9a27b5cd6cdf/analysis/

Centrándonos en uno de los análisis realizados (por Morgan Marquis-Boire, ingeniero de seguridad de Google), se confirma que son utilizadas por los propios gobiernos para el espionaje y control de diferentes organizaciones, aunque en realidad, cualquiera que se mueva en los círculos adecuados y haya pagado por este software, podrá realizar las acciones que considere oportunas sobre quien desee. Se sabe que se ha intentado infectar a activistas de Baréin.


P.-S.

Fuente Hispasec una al dia

Ultimos Artículos