Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/10/2014
Rápido análisis de FinFisher luego de la última filtración de WikiLeaks
Hace algunas semanas, WikiLeaks publicó muestras de malware alemán de espionaje utilizado por distintos gobiernos, mejor conocido como FinFisher y FinSpy. Según WikiLeaks, la compañía alemana FinFisher fue parte de Gamma Group International, basada en Reino Unido, hasta 2013.
Esta no es la primera vez que oímos sobre policeware alemán, ya que hemos compartido algunas opiniones sobre esto antes. Adicionalmente, otros reportes de CitizenLab fueron publicados desde el primer lanzamiento de SpyFiles en 2011 por parte de WikiLeaks.
Esta vez, tenemos las siguientes muestras:
|
Nombre del archivo
|
Detección de ESET
|
|---|---|
| ffrelay-debian-4.30.ggi.zip | Linux/Belesak.A |
| finspy_proxy.zip | Linux/Belesak.A |
| finspy_master.zip | Linux/Belesak.A-K |
| finfisher.1.zip | Win32/Belesak.A Trojan |
| finfisher.2.zip | Win32/Belesak.A Trojan |
En este caso, los primeros Relay, Proxy y Master son componentes estilo servidor de FinFisher, que colectan datos de víctimas. Luego hay otros dos archivos, finfisher.1 y finfisher.2, los cuales una vez ejecutados en la computadora de la víctima, permiten grabar audio y video de Skype, buscar y eliminar archivos, ejecutar comandos y muchas otras opciones que veremos más adelante en este post.
¿Cómo funciona?
Analicemos esta muestra para entender los puntos clave de su comportamiento. Arriba mostramos los droppers de primer nivel, los cuales descargan los de segundo nivel, los cuales finalmente inyectan el proceso explorer.exe e Internet Explorer:
Pueden seguir leyendo este artículo en el siguiente enlace.