El malware FinFisher se actualiza: ahora es capaz de infectar equipos con Windows sin ser detectado mediante un Bootkit UEFI

El malware FinFisher se actualiza: ahora es capaz de infectar equipos con Windows sin ser detectado mediante un Bootkit UEFI
1 comentario

Una nueva amenaza se cierne sobre equipos basados en Windows. Si hace poco te habías familiarizado el escuchar hablar del software Pegasus ahora puede que empieces a leer sobre software de vigilancia FinFisher, un desarrollo que se ha perfeccionado para infectar dispositivos Windows sin ser detectado.

FinFisher es un software de vigilancia desarrollado por Gamma International. También conocido como FinSpy o Wingbird, este malware aprovecha un gestor de arranque de Windows "sobre el que ha trabajado", logrando un grado alto de eficacia ya que consigue evitar que el sistema lo detecte.

Resiste reinstalaciones y cambios de disco duro

Finfisher

FinFisher es un conjunto de herramientas de software espía para Windows, macOS y Linux desarrollado por la firma anglo-alemana Gamma International y oficialmente está destinado a los cuerpos y fuerzas de seguridad, los cuales llevan a cabo sus actuaciones por medio de este sistema que se instala en equipos y dispositivos de objetivos a investigar.

El problema es que ahora y según han detectado investigadores de Kaspersky, FinFisher se ha actualizado para infectar dispositivos Windows mediante un bootkit UEFI (Unified Extensible Firmware Interface). De esta forma funciona sin que el equipo detecte que está instalado.

La UEFI es básicamente la sucesora de la BIOS (Basic Input Output System), la cual fue creada en 1975. Frente a esta, UEFI, acrónimo de Unified Extensible Firmware Interface, es el firmware sucesor, escrito en C, de BIOS, una evolución que llegó aportando una interfaz gráfica mucho más moderna, un sistema de inicio seguro, una mayor velocidad de arranque o el soporte para discos duros de más de 2 TB.

La UEFI cuenta con un soporte para el arranque seguro, que garantiza la integridad del sistema operativo para asegurarse de que ningún malware ha interferido en el proceso de arranque, siendo uno de los requisitos para usar Windows 11.

Ahora, FinFisher ha evolucionado y cuenta con una nueva característica que le permite desplegar un bootkit UEFI para cargarse, con nuevas muestras que cuentan con propiedades que sustituyen el cargador de arranque UEFI de Windows por una variante maliciosa. Por si esto no es suficiente, se ha "optimizado" con "otros métodos de evasión de la detección para ralentizar la ingeniería inversa y el análisis". De esta forma, el malware es capaz de pasar desapercibido para las soluciones de seguridad e incluso de resistir a la reinstalación del sistema operativo o a la sustitución del disco duro.

En palabras del equipo de Investigación y Análisis Global de Kaspersky "esta forma de infección permitió a los atacantes instalar un bootkit sin necesidad de saltarse las comprobaciones de seguridad del firmware". "Las infecciones por UEFI son muy raras y generalmente difíciles de ejecutar, destacan por su evasión y persistencia".

El objetivo de FinFisher no es otro que acceder a los datos de usuario, ya sean credenciales, documentos, llamadas, mensajes... Incluso puede leer y grabar pulsaciones de teclas, desviar mensajes de correo electrónico de Thunderbird, Outlook, Apple Mail e Icedove y capturar audio y video ya que puede obtener acceso al micrófono y a la cámara web de un equipo.

Viendo esto, la UEFI, que parece un lugar seguro, aislado y casi inaccesible, va a tener que ser más vigilado por parte de herramientas de seguridad a la hora de buscar malware en equipos.

Vía | The Hackers News
Imagen interior | The Hacker News

Temas
Inicio