El codi maliciós FinFisher s'actualitza: ara és capaç d'infectar equips amb Windows sense ser detectat mitjançant un Bootkit UEFI

Una nova amenaça plana sobre equips basats en Windows. Si fa poc t'havies familiaritzat escoltar parlar del programari Pegasus ara pot ser que comencis a llegir sobre programari de vigilància FinFisher, un desenvolupament que s'ha perfeccionat per infectar dispositius Windows sense ser detectat

"

FinFisher és un programari de vigilància desenvolupat per Gamma International. També conegut com FinSpy o Wingbird, aquest codi maliciós aprofita un carregador d&39;arrencada de Windows sobre el qual ha treballat, aconseguint un grau alt d&39;eficàcia ja que aconsegueix evitar que el sistema ho detecti."

Resisteix reinstal·lacions i canvis de disc dur

FinFisher és un conjunt d'eines de programari espia per a Windows, macOS i Linux desenvolupat per la firma anglo-alemanya Gamma International i oficialment està destinat als cossos i forces de seguretat, els quals duen a terme les seves actuacions per mitjà d'aquest sistema que s'instal·la en equips i dispositius d'objectius a investigar.

El problema és que ara i segons han detectat investigadors de Kaspersky, FinFisher s'ha actualitzat per a infectar dispositius Windows mitjançant un bootkit UEFI ( Unified Extensible Firmware Interface). D'aquesta manera funciona sense que l'equip detecti que està instal·lat.

La UEFI és bàsicament la successora de la BIOS (Basic Input Output System), la qual va ser creada el 1975.Davant d'aquesta, UEFI, acrònim d'Unified Extensible Firmware Interface, és el firmware successor, escrit en C, de BIOS, una evolució que va arribar aportant una interfície gràfica molt més moderna, un sistema d'inici segur, més velocitat d'arrencada o el suport per a discs durs de més de 2 TB.

La UEFI compta amb un suport per a l'arrencada segura, que garanteix la integritat del sistema operatiu per assegurar-se que cap malware ha interferit en el procés d'arrencada, essent un dels requisits per fer servir Windows 11.

"

Ara, FinFisher ha evolucionat i compta amb una nova característica que us permet desplegar un bootkit UEFI per carregar-se, amb noves mostres que compten amb propietats que substitueixen el carregador d&39;arrencada UEFI de Windows per una variant maliciosa Per si això no és suficient, s&39;ha optimitzat>"

"

En paraules de l&39;equip de Recerca i Anàlisi Global de Kaspersky aquesta forma d&39;infecció va permetre als atacants instal·lar un bootkit sense necessitat de s altar-se les comprovacions de seguretat del microprogramari.Les infeccions per UEFI són molt rares i generalment difícils d&39;executar, destaquen per la seva evasió i persistència."

L'objectiu de FinFisher no és altre que accedir a les dades d'usuari, ja siguin credencials, documents, trucades, missatges… Fins i tot pot llegir i gravar pulsacions de tecles, desviar missatges de correu electrònic de Thunderbird, Outlook, Apple Mail i Icedove i capturar àudio i vídeo ja que pot accedir al micròfon i la càmera web d'un equip.

Veient això, la UEFI, que sembla un lloc segur, aïllat i gairebé inaccessible, haurà de ser més vigilat per part d'eines de seguretat a l'hora de buscar codi maliciós en equips.

Via | The Hackers News Imatge interior | The Hacker News