La nuova variante del malware FinSpy infetta i sistemi Windows con UEFI Bootkit

Il software di sorveglianza FinFisher sviluppato commercialmente è stato aggiornato per infettare i dispositivi Windows utilizzando un bootkit UEFI (Unified Extensible Firmware Interface) utilizzando un Boot Manager Windows trojanizzato, segnando un cambiamento nei vettori di infezione che gli consentono di eludere la scoperta e l'analisi.

Rilevato in natura dal 2011, FinFisher (alias FinSpy o Wingbird) è un set di strumenti spyware per Windows, macOS e Linux sviluppato dalla società anglo-tedesca Gamma International e fornito esclusivamente alle forze dell'ordine e alle agenzie di intelligence. Ma come con Pegasus di NSO Group, il software è stato utilizzato anche per spiare gli attivisti del Bahrein in passato presumibilmente e consegnato come parte di campagne di spear-phishing nel settembre 2017.

FinFisher è in grado di raccogliere credenziali utente, elenchi di file, documenti sensibili, registrare sequenze di tasti, sottrarre messaggi e-mail da Thunderbird, Outlook, Apple Mail e Icedove, intercettare contatti Skype, chat, chiamate e file trasferiti e acquisire audio e video ottenendo l'accesso al microfono e alla webcam di una macchina.

Mentre lo strumento è stato precedentemente distribuito tramite programmi di installazione manomessi di applicazioni legittime come TeamViewer, VLC e WinRAR che erano sottoposti a backdoor con un downloader offuscato, i successivi aggiornamenti nel 2014 hanno abilitato le infezioni tramite i bootkit Master Boot Record (MBR) con l'obiettivo di iniettare un caricatore dannoso in un modo progettato per sfuggire agli strumenti di sicurezza.

L'ultima funzionalità aggiunta è la possibilità di distribuire un bootkit UEFI per caricare FinSpy, con nuovi campioni che mostrano proprietà che hanno sostituito il boot loader UEFI di Windows con una variante dannosa, oltre a vantare quattro livelli di offuscamento e altri metodi di evasione di rilevamento per rallentare il reverse engineering e l'analisi.

"Questo modo di infezione ha permesso agli aggressori di installare un bootkit senza la necessità di bypassare i controlli di sicurezza del firmware", ha affermato il Global Research and Analysis Team (GReAT) di Kaspersky in un'analisi tecnica approfondita dopo un'indagine durata otto mesi. "Le infezioni UEFI sono molto rare e generalmente difficili da eseguire, si distinguono per la loro evasività e persistenza".

UEFI è un'interfaccia firmware e un miglioramento rispetto al BIOS (Basic Input/Output System) con supporto per Secure Boot , che garantisce l'integrità del sistema operativo per garantire che nessun malware abbia interferito con il processo di avvio. Ma poiché UEFI facilita il caricamento del sistema operativo stesso, le infezioni da bootkit non solo sono resistenti alla reinstallazione del sistema operativo o alla sostituzione del disco rigido, ma sono anche poco appariscenti per le soluzioni di sicurezza in esecuzione all'interno del sistema operativo.

Ciò consente agli attori delle minacce di avere il controllo sul processo di avvio, ottenere la persistenza e aggirare tutte le difese di sicurezza. "Mentre in questo caso gli aggressori non hanno infettato il firmware UEFI stesso, ma la sua fase di avvio successiva, l'attacco è stato particolarmente furtivo, poiché il modulo dannoso è stato installato su una partizione separata e potrebbe controllare il processo di avvio della macchina infetta", il ricercatori hanno aggiunto.