Têm surgido na Internet novas campanhas de malware que utilizam o FinFisher para infetar os computadores dos menos incautos. O alerta é dado pela ESET, que afirma que o objetivo é espiar os utilizadores infetados e que a origem pode mesmo estar num provedor de Internet.
O FinFisher já não é novo, mas recentemente têm surgido na Internet novas campanhas de vigilância maliciosa que o utilizam. Para a empresa de software ESET, que dá o alarme, as novas variantes do FinFisher (também conhecido como FinSpy) apresentam tanto melhorias técnicas como um vetor de infeção inteligente, que até agora não havia sido observado. Com base nestas observações, a ESET avança com a teoria de que um provedor de Internet (ISP), poderá estar envolvido.
A empresa apoia a sua teoria em alguns factos: Primeiro, e segundo materiais internos publicados pela WikiLeaks, o criador do FinFisher disponibiliza uma solução denominada FinFly ISP, que pode ser implementada nos provedores de serviços e oferece as capacidades necessárias para se efetuar num ataque Man in the Middle, em que a infeção ocorre no “caminho” que liga o computador alvo ao servidor legítimo (por exemplo, hotspots Wi-Fi comprometidos).
No entanto, a dispersão geográfica das deteções da ESET das variantes do FinFisher (sete países em todo o mundo) sugere que o ataque Man in the Middle está a acontecer a um nível maior. Logo, um ISP surge como uma das opções mais prováveis.
Em segundo lugar, a técnica de infeção (através de um redirecionamento 307) é implementada da mesma forma em todos os países afetados. Em terceiro, todos os alvos utilizam o mesmo ISP. Finalmente, o mesmo método de redirecionamento e formato foi utilizado para a filtragem de conteúdos por parte dos provedores nos países afetados. A implementação desta técnica de ataque ao nível do ISP nunca foi revelada até agora. Caso se confirme, estas campanhas irão representar uma campanha sofisticada e silenciosa que permite espiar quaisquer utilizadores.
De acordo com a ESET, o FinFisher possui múltiplas capacidades de espionagem, como vigilância ao vivo através de webcams e microfones, keylogging e exfiltração de arquivos. Para a infeção são usados vários mecanismos, como spearphishing, instalações manuais com acesso físico a dispositivos, explorações de vulnerabilidades nos sistemas e contaminação de sites que os alvos costumam visitar.
Quando o utilizador – o alvo da vigilância – tenta descarregar uma das populares (e legítimas) aplicações, é redirecionado para uma versão dessa aplicação que foi infetada com o FinFisher. As aplicações que, até agora, foram mais utilizadas para espalhar esta ameaça foram, entre outras, WhatsApp, Skype, Avast, WinRAR e VLC Player, afirma a ESET, reforçando o alerta: “Importa salientar que qualquer aplicação existente no mercado pode ser modificada desta forma.”
