มัลแวร์ FinFisher ได้รับการอัปเกรดเพื่อแพร่กระจายไปบนอุปกรณ์ Windows โดยใช้ชุดบูต UEFI (Unified Extensible Firmware Interface) โดยใช้ประโยชน์จาก Windows Boot Manager ซึ่งทำให้ Attack Vector ที่นำไปสู่การติดมัลแวร์เปลี่ยนไป ทำให้สามารถหลบเลี่ยงการตรวจจับ และการวิเคราะห์ได้
FinFisher (หรือที่รู้จักในชื่อ FinSpy หรือ Wingbird) ถูกตรวจพบตั้งแต่ปี 2011 โดยเป็นสปายแวร์สำหรับ Windows, macOS และ Linux ที่พัฒนาโดยบริษัท Anglo-German firm Gamma International ซึ่งมักจะจัดหาซอฟแวร์สอดแนมให้กับหน่วยงานบังคับใช้กฎหมาย และหน่วยข่าวกรองโดยเฉพาะ เช่นเดียวกับ Pegasus ของ NSO Group
FinFisher จะรวบรวมข้อมูล Credential ของผู้ใช้ รายชื่อไฟล์ เอกสารสำคัญ บันทึกการกดแป้นพิมพ์ เนื้อหาในอีเมลจาก Thunderbird, Outlook, Apple Mail และ Icedove ดักจับข้อมูลผู้ใช้บน Skype ข้อความแชท การโทร และโอนไฟล์ต่างๆ รวมไปถึงการบันทึกเสียง และวิดีโอโดยการเข้าถึงไมโครโฟน และเว็บแคมของเครื่องเหยื่อ
ในขณะที่เครื่องมือนี้เคยใช้งานผ่านตัวติดตั้งที่ถูกดัดแปลงของแอปพลิเคชัน เช่น TeamViewer, VLC และ WinRAR การอัปเดตที่ตามมาในปี 2014 ทำให้เกิดการติดผ่าน Master Boot Record (MBR) โดยมีเป้าหมายเพื่อโหลดไฟล์ที่เป็นอันตราย ในลักษณะที่ออกแบบมาเพื่อหลบเลี่ยงการตรวจจับ
ฟีเจอร์ล่าสุดที่เพิ่มเข้ามาคือความสามารถในการปรับใช้ UEFI bootkit เพื่อโหลด FinSpy โดยตัวอย่างใหม่แสดงคุณสมบัติแทนที่ Windows UEFI boot loader ด้วยตัวแปรที่เป็นอันตราย และวิธีการหลีกเลี่ยงการตรวจจับอื่นๆ ทีมวิจัย และวิเคราะห์ระดับโลก (GReAT) ของ Kaspersky กล่าวว่าวิธีการติดไวรัสนี้ทำให้ผู้โจมตีสามารถติดตั้ง bootkit ได้โดยไม่ต้องผ่านการตรวจสอบความปลอดภัยของเฟิร์มแวร์
ที่มา : thehackernews.com
You must be logged in to post a comment.