FinFisher, il pericoloso malware che colpisce il Windows Boot Manager con un bootkit UEFI

I ricercatori di Kaspersky hanno analizzato il malware FinFisher (noto anche come FinSpy o Wingbird) scoprendo che ora può infettare i dispositivi Windows per mezzo di un bootkit UEFI che lo inserisce nel Windows Boot Manager. Può colpire anche macOS, Linux e i suoi installer, ma con altre modalità.

FinFisher è un malware commerciale sviluppato da Gamma Group che in teoria è venduto solo ad agenzie governative e forze dell'ordine, ma che è stato anche rilevato in altri contesti, in campagne di spear phishing e nell'infrastruttura di provider di servizi Internet.

Monitorato da Kaspersky fin dal 2011, FinFisher è in grado di raccogliere varie credenziali, directory, file cancellati, così come diversi documenti, livestreaming o registrazione di dati e ottenere l'accesso a webcam e microfoni.

"Durante l'indagine, durata otto mesi, sono stati scoperti l'offuscamento a quattro livelli e le misure avanzate anti-analisi impiegate dagli sviluppatori dello spyware, nonché un bootkit UEFI usato per infettare le vittime", spiega Kaspersky. "Tutti i sistemi infettati dal bootkit UEFI avevano il Boot Manager di Windows (bootmgfw.efi) sostituito con uno maligno".

"Questo metodo di infezione ha permesso ai malintenzionati di installare un bootkit senza dover aggirare i controlli di sicurezza del firmware. Le infezioni che colpiscono l'UEFI sono molto rare e generalmente difficili da eseguire, e si distinguono per la loro evasività e persistenza".

L'UEFI rende i malware bootkit difficili da eradicare perché s'inseriscono nella memoria flash SPI saldata sulle motherboard e non si cancellano cambiando l'hard disk / SSD o reinstallando il sistema operativo. Inoltre, il codice maligno è invisibile alle soluzioni di sicurezza del sistema operativo perché si carica durante la fase di avvio del dispositivo, prima di Windows.

In questo modo, oltre a controllare il processo di avvio di un sistema operativo, un malintenzionato può sabotare le difese del sistema operativo arrivando persino ad aggirare il Secure Boot in alcuni casi.

Attacchi e malware che usano un bootkit sono estremamente rari: tra quelli documentati troviamo Lojax usato dal gruppo APT28 sostenuto dalla Russia, MosaicRegressor creato da hacker cinesi e Moriya, sempre usato dai cinesi per spionaggio. I PC più datati che non sono dotati di supporto UEFI si infettano con una tattica simile, tramite l'MBR (Master Boot Record) con bootkit nati a partire dal 2014.

I risultati dello studio dimostrano quanto FinFisher sia, ad oggi, uno degli spyware più difficili da rilevare in quanto è in grado di eludere i controlli di sicurezza. "FinFisher è offuscato da quattro complessi offuscatori personalizzati, la cui funzione è rallentare l'analisi dello spyware. Inoltre, il Trojan utilizza metodi peculiari per raccogliere informazioni. Ad esempio, all'interno dei browser usa la modalità sviluppatore per intercettare il traffico protetto con protocolli HTTPS".

"Il lavoro che è stato fatto per rendere FinFisher inaccessibile ai ricercatori di sicurezza è davvero preoccupante e piuttosto impressionante", ha commentato Igor Kuznetsov, principal security researcher del Global Research and Analysis Team (GReAT) di Kaspersky.

"Gli sviluppatori hanno lavorato non solo al Trojan stesso, ma anche alla creazione di pesanti misure di offuscamento e anti-analisi per proteggerlo. Di conseguenza, questo spyware è particolarmente difficile da tracciare e rilevare grazie alle sue capacità di eludere qualsiasi indagine e analisi".

"Il fatto che questo malware venga distribuito con estrema precisione e sia praticamente impossibile da rilevare significa anche che le sue vittime sono particolarmente vulnerabili. Questo costituisce anche una grande sfida per i ricercatori: serve investire una quantità enorme di risorse per districare ogni singolo sample. Credo che minacce complesse come FinFisher dimostrino quanto sia importante la cooperazione e lo scambio di conoscenze tra i ricercatori di sicurezza, nonché l'investimento in nuovi tipi di soluzioni di sicurezza in grado di contrastare queste minacce". Il report completo su FinFisher è disponibile su Securelist.