17.3.18

ISP可能會利用finfisher間諜軟體感染你的電腦


確定在設備上安裝的WhatsApp,Skype或VLC Player的版本是否合法?
據報導,安全研究人員發現,這幾個流行的應用程式,包括WhatsApp,Skype,VLC播放器和WinRAR的合法下載,遭ISP破壞,散佈臭名昭著的FinFisher間諜軟體,也被稱為FinSpy。
FinSpy是一個高度機密的監控工具,以前曾與英國的Gamma Group公司有合作關係,該公司合法向全球政府機構出售監控和間諜軟體。
間諜軟體在受感染的電腦上具有多種的間諜功能,包括通過打開網絡鏡頭和麥克風秘密進行監控,使用鍵盤記錄器記錄所有使用者紀錄,攔截Skype呼叫以及文件過濾。
為了進入目標電腦,FinFisher通常使用各種攻擊媒介,包括魚叉式網絡釣魚,手動安裝以及物理訪問設備,零日攻擊以及水坑攻擊。



你的ISP可能會幫助黑客窺探你
然而,ESET今天發布的一份新報告聲稱,其研究人員發現七個國家在利用FinFisher新變種的實施新的監視行動,將這些活動與合法應用程序捆綁在一起。

但是這是怎麼發生的?攻擊者利用中間人攻擊(MitM)攻擊受害者,其中網際網路服務提供商(ISP)最有可能作為“中間人”媒介,這是與FinFisher合作下載合法軟體的一部分。
研究人員說:“我們已經看到這種媒介在ESET系統檢測到最新的FinFisher間諜軟件的兩個國家(在其餘五個國家中,這些活動都依賴於傳統感染媒介)使用。”
維基解密 以前發布的文件還指出,FinFisher製造商還提供了一種稱為“FinFly ISP”的工具,該工具應該在ISP端部署,並具備執行此類MitM攻擊所需的功能。
此外,感染技術(使用HTTP 307重定向)在ESET發現的兩個受影響國家中以相同方式實施,這些國家是FinFisher新變種的目標。然而,該公司沒有將受影響的國家稱為“不要讓任何人處於危險之中”。
ISP端MitM攻擊的另一個事實是,一個國家的研究人員確定的所有受影響目標都使用相同的ISP。
ESET報告指出“至少在其中一個受影響的國家,網際網路內容過濾使用了相同的重定向的方法和格式”。
FinFisher的新變種所針對的流行應用程式包括WhatsApp,Skype,VLC播放器,Avast和WinRAR,ESET研究人員表示,“幾乎所有的應用程式都可能以這種方式被濫用。”

以下是攻擊的工作原理:
當目標用戶在合法網站上搜索其中一個受影響的應用程序並單擊其下載鏈接時,他們的瀏覽器會被提供一個修改的URL,該URL會將受害者重定向到託管在攻擊者服務器上的木馬化安裝包。
這導致安裝與監視工具捆綁在一起的預期合法應用程序的版本。
研究人員說:“重定向是通過合法的下載鏈接被惡意代替來實現的。” “惡意鏈接通過HTTP 307臨時重定向狀態響應代碼傳遞給用戶的瀏覽器,表明請求的內容已被暫時移至新的URL。”
據研究人員稱,整個重定向過程“肉眼無法看到”,並且在用戶不知情的情況下發生。

FinFisher利用大量新技巧
最新版本的FinFisher所採用的新技巧使其不被研究人員發現。
研究人員還指出,最新版本的FinFisher在隱身方面獲得了多項技術改進,包括使用定制代碼虛擬化來保護其大部分組件(如內核模式驅動程序)。
它還利用反分解技巧以及眾多反沙盒,反調試,反虛擬化和反仿真技巧,旨在破壞端到端加密軟件和已知的隱私工具。
研究人員在分析最近的活動時發現了一種名為Threema的安全消息應用程式。
研究人員說:“FinFisher間諜軟體偽裝成名為”Threema“的可執行文件。這種文件可用於針對與隱私有關的用戶,因為合法的Threema應用程序通過端對端加密提供安全的即時消息。”
“具有諷刺意味的是,欺騙下載並運行受感染的文件會導致隱私尋求用戶被窺視。”

沒有留言:

張貼留言