Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es
21/10/2014
Esta no es la primera vez que oímos sobre policeware alemán, ya que hemos compartido algunas opiniones sobre esto antes. Adicionalmente, otros reportes de CitizenLab fueron publicados desde el primer lanzamiento de SpyFiles en 2011 por parte de WikiLeaks.
Esta vez, tenemos las siguientes muestras:
Nombre del archivo
|
Detección de ESET
|
---|---|
ffrelay-debian-4.30.ggi.zip | Linux/Belesak.A |
finspy_proxy.zip | Linux/Belesak.A |
finspy_master.zip | Linux/Belesak.A-K |
finfisher.1.zip | Win32/Belesak.A Trojan |
finfisher.2.zip | Win32/Belesak.A Trojan |
En este caso, los primeros Relay, Proxy y Master son componentes estilo servidor de FinFisher, que colectan datos de víctimas. Luego hay otros dos archivos, finfisher.1 y finfisher.2, los cuales una vez ejecutados en la computadora de la víctima, permiten grabar audio y video de Skype, buscar y eliminar archivos, ejecutar comandos y muchas otras opciones que veremos más adelante en este post.
Analicemos esta muestra para entender los puntos clave de su comportamiento. Arriba mostramos los droppers de primer nivel, los cuales descargan los de segundo nivel, los cuales finalmente inyectan el proceso explorer.exe e Internet Explorer:
Pueden seguir leyendo este artículo en el siguiente enlace.