Το FinFisher malware, μπορεί τώρα να μολύνει συσκευές Windows χρησιμοποιώντας ένα bootkit UEFI το οποίο ενσωματώνει στο Windows Boot Manager.
Δείτε επίσης: Microsoft: Το νέο malware FoggyWeb είναι backdoor για τους χάκερ
Το FinFisher, που είναι επίσης γνωστό και ως FinSpy ή Wingbird, είναι μία λύση παρακολούθησης που αναπτύχθηκε από την Gamma Group και έρχεται επίσης με δυνατότητες που μοιάζουν με κακόβουλου λογισμικού και συχνά απαντώνται σε στελέχη spyware.
Ο προγραμματιστής του λέει ότι πωλείται αποκλειστικά σε κυβερνητικές υπηρεσίες και αρχές επιβολής του νόμου σε όλο τον κόσμο, αλλά οι εταιρείες κυβερνοασφάλειας το εντόπισαν επίσης σε εκστρατείες ψαρέματος phishing.
“Κατά τη διάρκεια της έρευνάς μας, βρήκαμε ένα bootkit UEFI που φόρτωνε το FinSpy. Όλα τα μηχανήματα που μολύνθηκαν με το bootkit UEFI αντικατέστησαν το Windows Boot Manager (bootmgfw.efi) με ένα κακόβουλο“, αποκάλυψανsecnews οι ερευνητές της Kasperksy.
Το υλικολογισμικό UEFI (Unified Extensible Firmware Interface), επιτρέπει εξαιρετικά επίμονο bootkit malware καθώς είναι εγκατεστημένο σε χώρο αποθήκευσης flash SPI, που είναι κολλημένο στη μητρική πλακέτα των υπολογιστών, καθιστώντας αδύνατο να απαλλαγεί από αντικατάσταση του σκληρού δίσκου ή ακόμη και επανεγκατάσταση του λειτουργικού συστήματος.
Δείτε ακόμα: FlyTrap malware χακάρει χιλιάδες Facebook λογαριασμούς!
Τα bootkits, όπως αυτό που εγκαθιστά το FinFisher malware, είναι κακόβουλος κώδικας που είναι εγκατεστημένος στο υλικολογισμικό και είναι αόρατος σε λύσεις ασφαλείας στο λειτουργικό σύστημα, καθώς έχουν σχεδιαστεί για να φορτώνονται πριν από όλα τα άλλα, στο αρχικό στάδιο της ακολουθίας εκκίνησης μιας συσκευής.
Παρέχουν στους επιτιθέμενους τον έλεγχο της διαδικασίας εκκίνησης των λειτουργικών συστημάτων και καθιστούν δυνατό το σαμποτάρισμα των αμυντικών λειτουργικών συστημάτων, παρακάμπτοντας τον μηχανισμό Secure Boot ανάλογα με τη λειτουργία ασφάλειας εκκίνησης του συστήματος.
“Ενώ σε αυτήν την περίπτωση οι επιτιθέμενοι δεν μολύνουν το ίδιο το υλικολογισμικό UEFI, αλλά το επόμενο στάδιο εκκίνησης, η επίθεση ήταν ιδιαίτερα απαρατήρητη, καθώς η κακόβουλη μονάδα εγκαταστάθηκε σε ξεχωριστό διαμέρισμα και μπορούσε να ελέγξει τη διαδικασία εκκίνησης του μολυσμένου μηχανήματος“, πρόσθεσαν οι ερευνητές.
Οι προγραμματιστές του spyware χρησιμοποίησαν επίσης τέσσερα στρώματα μέτρων συστολής και ανάλυσης, που σχεδιάστηκαν για να καταστήσουν το FinFisher malware ένα από τα “πιο μη ανιχνεύσιμα spyware μέχρι σήμερα”.
Δείτε επίσης: iPhone 13: Η Apple δεν αντιμετωπίζει τις ανησυχίες για spyware
Οι προσπάθειές τους ήταν εξαιρετικά αποτελεσματικές, καθώς τα δείγματα κακόβουλου λογισμικού μπορούσαν να αποφύγουν σχεδόν κάθε απόπειρα ανίχνευσης και ήταν σχεδόν αδύνατο να αναλυθούν.
Πηγή: BleepingComputer
