Pesquisadores de empresa de segurança cibernética identificaram na atividade recente do FinFisher — kit de espionagem criado por um hacker identificado como Phineas Fisher — um link com provedores de internet que facilitaria sua execução.

Também conhecido como FinSpy, o FinFisher é um software que possui amplas capacidades de espionagem, como vigilância em tempo real via webcams e microfones, keylogging e extração de arquivos. O que o distingue de outras ferramentas desse tipo, no entanto, são as controvérsias em torno de suas implementações. O FinFisher é vendido a governos que querem vigiar a população na rede de alguma forma ou a agências e autoridades que têm alvos em mente, e inclui softwares maliciosos para realizar monitoramento em massa, e acredita-se que também tenha sido usado por regimes ditatoriais.

Além disso, sua versão mais recente inclui melhorias destinadas a expandir suas capacidades de espionagem, passar despercebido e evitar a análise. A inovação mais importante, no entanto, é a forma como a ferramenta de vigilância se relaciona com o computador alvo.

O que há de novo nas campanhas, em termos de distribuição, é o uso de um ataque em que as comunicações de potenciais vítimas são interceptadas, sendo que provavelmente um provedor de acesso à internet (ISP) é o intermediário. Esse vetor foi usado em dois dos países onde os sistemas de segurança detectaram o último spyware do FinFisher; nos cinco países restantes, as campanhas utilizaram vetores de infecção tradicionais.

“Em duas das campanhas, o spyware se espalhou por meio de um ataque intermediário e acreditamos que os provedores de internet tenham desempenhado esse papel”, explica o analista de malware que conduziu a pesquisa.

O ataque começa com uma alteração no site de download oficial do WhatsApp, Skype ou VLC Player. Depois de o usuário clicar no link de download, seu navegador recebe um link modificado e é redirecionado para um pacote de instalação com trojan, hospedado no servidor do invasor. Quando você baixa e executa o programa, você não apenas instala o aplicativo legítimo que o usuário esperava, mas também o spyware do FinFisher.

Fonte: ComputerWorld