Há quem considere que tapar a webcam ou desligar o microfone do PC é algo surreal e que segue uma “ideia de perseguição”. A verdade é que são muitos os utilizadores que o fazem e até o FBI já recomendou tapar as webcam. As ameaças a este nível existem, e o spyware FinFisher é um dos mais perigoso.
Os investigadores da ESET detetaram novas campanhas de vigilância que utilizam uma nova variante do FinFisher, um spyware também conhecido como FinSpy.
O FinFisher possui amplas capacidades de espionagem, como vigilância em tempo real através de webcams e microfones, keylogging e exfiltração de ficheiros. O FinFisher é comercializado como uma ferramenta que auxilia a aplicação da lei, mas, no entanto, acredita-se que seja também utilizado por regimes opressores.
Vários mecanismos de infeção das campanhas do FinFisher
As campanhas do FinFisher utilizam vários mecanismos de infeção, incluindo spearphishing, instalações manuais com acesso físico a dispositivos, explorações de vulnerabilidades nos sistemas e contaminação de sites que os alvos costumam visitar.
O que é novo – e mais preocupante – acerca destas novas campanhas no que diz respeito à distribuição é que os atacantes utilizam um ataque man-in-the-middle, com este intermediário a operar normalmente ao nível do ISP.
Quando o utilizador – o alvo da vigilância – está preparado para descarregar uma das populares (e legítimas) aplicações, é redirecionado para uma versão dessa aplicação que foi infetada com o FinFisher.
As aplicações que até agora foram mal utilizadas para espalhar esta ameaça foram, entre outras, o WhatsApp, Skype, WinRAR, VLC Player, entre outras. É importante salientarmos que qualquer aplicação existente no mercado pode ser modificada desta forma.
Como acontece o ataque?
O ataque começa com o utilizador a pesquisar por uma das aplicações afetadas em sites aparentemente legítimos. No entanto, quando o utilizador dá um clique na ligação para download, é disponibilizado ao browser um link modificado que o redireciona para descarregar um pacote de instalação malicioso que se encontra alojado no servidor do atacante. Quando descarregado e executado, instala não só a aplicação legítima, mas também o spyware FinFisher.
Mais informações aqui.