Segurança > Cibercrime

Provedores de internet podem ter disseminado kit de espionagem FinFisher

Spyware se espalhou por meio de um ataque intermediário e a Eset acredita que os provedores de internet tenham sido responsáveis pela distribuição

27 de Setembro de 2017 - 17h22

Pesquisadores da Eset, empresa de segurança cibernética, identificaram na atividade recente do FinFisher — kit de espionagem criado por um hacker identificado como Phineas Fisher — um link com provedores de internet que facilitaria sua execução.

Também conhecido como FinSpy, o FinFisher é um software que possui amplas capacidades de espionagem, como vigilância em tempo real via webcams e microfones, keylogging e extração de arquivos. O que o distingue de outras ferramentas desse tipo, no entanto, são as controvérsias em torno de suas implementações. O FinFisher é vendido a governos que querem vigiar a população na rede de alguma forma ou a agências e autoridades que têm alvos em mente, e inclui softwares maliciosos para realizar monitoramento em massa, e acredita-se que também tenha sido usado por regimes ditatoriais.

Além disso, sua versão mais recente inclui melhorias destinadas a expandir suas capacidades de espionagem, passar despercebido e evitar a análise. A inovação mais importante, no entanto, é a forma como a ferramenta de vigilância se relaciona com o computador alvo.

O que há de novo nas campanhas, em termos de distribuição, é o uso de um ataque em que as comunicações de potenciais vítimas são interceptadas, sendo que provavelmente um provedor de acesso à internet (ISP) é o intermediário. Esse vetor foi usado em dois dos países onde os sistemas Eset detectaram o último spyware do FinFisher; nos cinco países restantes, as campanhas utilizaram vetores de infecção tradicionais.

"Em duas das campanhas, o spyware se espalhou por meio de um ataque intermediário e acreditamos que os provedores de internet tenham desempenhado esse papel", explica Filip Kafka, o analista de malware da ESET que conduziu a pesquisa.

O ataque começa com uma alteração no site de download oficial do WhatsApp, Skype ou VLC Player. Depois de o usuário clicar no link de download, seu navegador recebe um link modificado e é redirecionado para um pacote de instalação com trojan, hospedado no servidor do invasor. Quando você baixa e executa o programa, você não apenas instala o aplicativo legítimo que o usuário esperava, mas também o spyware do FinFisher.

Mecanismo de infecção das últimas versões do FinFisher

"Durante a nossa pesquisa, encontramos uma série de indicadores que sugerem que o redirecionamento está ocorrendo por meio do serviço de um importante fornecedor de internet", diz Filip Kafka, sem revelar o nome. Segundo ele, é a primeira vez que se tem conhecimento público do provável envolvimento de um importante fornecedor de internet na disseminação de malwares. "Essas campanhas do FinFisher são projetos de vigilância sofisticados e sigilosos, sem precedentes em sua combinação de métodos e alcance", completa o analista.