Los investigadores de Kaspersky han detallado una nueva actualización del software de vigilancia FinSpy, donde el malware de espionaje puede propagarse a través del bootkit UEFI.
Descubierto por primera vez en 2011, el malware FinSpy ha crecido para agregar el bootkit UEFI a su arsenal. Cuando se infecta, puede registrar claves, credenciales y otros datos confidenciales de la comunicación y transportarlos al hacker.
Una actualización de FinSpy
FinSpytambién conocido como FinFisher o Wingbird, es un malware de vigilancia descubierto por primera vez en 2011. Si bien era el implante de escritorio, una versión móvil fue descubierto un año después.
Esto se propagó inicialmente a través del instalador troyano: software legítimo pero incluido con malware. Los usuarios que descarguen estos archivos y los descompriman instalarán el malware sin saberlo y se infectarán.
En 2014, el equipo de FinSpy agregó soporte para Registro de arranque maestro (MBR) y luego encontró conexiones con el gobierno de Indonesia y las infecciones en Myanmar. Igor Kuznetsov y Georgy Kucherin, investigadores de Security Analyst Summit (SAS) de Kaspersky, revelaron una versión mejorada de FinSpy.
El software de vigilancia acaba de agregar Interfase Extensible de Firmware Unificado (UEFI) bootkit a sus vectores de ataque de escritorio. Como UEFI es un elemento esencial que maneja el funcionamiento del sistema operativo, es bueno que los atacantes de FinSpy pasen desapercibidos de una mejor manera.
Con esto, pueden reemplazar el Administrador de arranque de Windows (bootmgfw.efi) con una versión maliciosa, que alberga dos archivos encriptados: un Winlogon Injector y el cargador principal de FinSpy.
Aunque el troyano estaba cifrado, se descifrará y se inyectará en winlogon.exe una vez que el usuario inicie sesión. Si bien esto sucede aprovechando la UEFI en los sistemas nuevos, los sistemas antiguos sin UEFI son atacados a través de MBR.
Una vez dentro, FinSpy cumple con su deber previsto de espiar y robar datos como información del sistema operativo, claves de producto de Microsoft, medios almacenados localmente, credenciales de VPN, navegador y WiFi, historial de búsqueda, claves SSL, grabaciones de Skype, etc.
