CSIRT-CV - Hemeroteca

Está usted visitando una publicación en la hemeroteca de CSIRT-CV.
Para acceder al portal y contenido actual, visite https://www.csirtcv.gva.es

21/10/2014

Ràpida anàlisi de FinFisher després de l’última filtració de WikiLeaks

Fa algunes setmanes, WikiLeaks va publicar mostres de programari maliciós alemany d’espionatge utilitzat per distints governs, més conegut com FinFisher i FinSpy. Segons WikiLeaks, la companyia alemanya FinFisher va ser part de Gamma Group International, basada en el Regne Unit, fins a 2013.

Esta no és la primera vegada que sentim parlar sobre policeware alemany, ja que hem compartit algunes opinions sobre açò abans. Addicionalment, altres reports de CitizenLab van ser publicats des del primer llançament de SpyFiles en 2011 per part de WikiLeaks.

Esta vegada, tenim les mostres següents:

Nom de l'arxiu	Detecció de ESET
ffrelay-debian-4.30.ggi.zip	Linux/Belesak.A
finspy_proxy.zip	Linux/Belesak.A
finspy_master.zip	Linux/Belesak.A-K
finfisher.1.zip	Win32/Belesak.A Trojan
finfisher.2.zip	Win32/Belesak.A Trojan

En este cas, els primers Relay, Proxy i Master són components estil servidor de FinFisher, que col·lecten dades de víctimes. Després hi ha altres dos arxius, finfisher.1 i finfisher.2, els quals una vegada executats en la computadora de la víctima, permeten gravar àudio i vídeo de Skype, buscar i eliminar arxius, executar comandaments i moltes altres opcions que veurem més avant en este article.

Com funciona?

Analitzem esta mostra per a entendre els punts clau del seu comportament. Dalt mostrem els droppers de primer nivell, els quals descarreguen els de segon nivell, els quals finalment injecten el procés explorer.exe i Internet Explorer:

Poden continuar llegint este article en l’enllaç següent.

Font: We Live Security

CSIRT-CV