FINFISHER: TORNA ALLA CARICA LO SPYWARE CHE INFETTA TRAMITE BOOT MANAGER

computer-2038627_1920_900x400.png

Una nuova versione di FinFisher, noto Spyware commerciale, infetta i sistemi a partire dal Boot Manager del sistema operativo, rendendo la sua presenza molto più difficile da rilevare.

 

FinFisher, noto anche come FinSpy o Wingbird, è un pericoloso Spyware commerciale funzionante su sistemi Microsoft Windows, Linux e Mac OsX. Già noto nelle sue precedenti versioni in quanto difficile da rilevare attraverso un comune antivirus, nella sua ultima evoluzione attacca direttamente il Master Boot Record, una parte dell’hard disk del sistema operativo dedicata all’avvio del sistema. Nel gergo informatico viene definito come Master Boot Record (MBR) il primo settore del disco rigido (hard disk) del computer, composto dai primi 512 byte del disco. Esso contiene una sequenza di comandi o istruzioni necessarie all’avvio (boot) del sistema operativo.

Nel caso di FinFisher, lo spyware si occupa di modificare una parte del Boot Manager di sistema inserendo un frammento del suo codice all’interno, lasciando inalterato il normale funzionamento del restante codice dedicato all’avvio del sistema operativo. In questo modo una parte delle funzionalità di sorveglianza del software vengono caricate in memoria prima dell’avvio del sistema operativo, riuscendo ad occultare in modo più efficiente la sua presenza ad eventuali antivirus o antimalware installati all’interno del sistema.

Successivamente FinFisher è in grado di raccogliere, alla totale insaputa dell’utente, qualsiasi dato in transito sul sistema, come ad esempio documenti, e-mail, cronologia della navigazione dell’utente ecc... È inoltre in grado di accedere ad eventuali webcam o microfoni presenti sul sistema e registrare le informazioni disponibili attraverso tali periferiche. La sua presenza all’interno del Master Boot Record lo rende immune ad una eventuale re-installazione del sistema operativo, poiché una semplice formattazione del dispositivo non è sufficiente all’eliminazione dei dati contenuti all’interno dell’MBR.

Per maggiori approfondimenti sull’argomento vi rimandiamo alla lettura di un’ottima analisi tecnica di FinFisher, effettuata dal personale tecnico di Kaspersky, leggibile gratuitamente al seguente link:

Per maggiore chiarezza ribadiamo alcuni concetti molto importanti che riguardano FinFisher:

  • Esso è un software spia di tipo commerciale, pertanto la sua diffusione è limitata e solitamente viene impiegato principalmente in attacchi mirati, al fine di trafugare informazioni particolarmente riservate;
  • Il suo metodo di infezione, che avviene prima dell’avvio del sistema operativo vero e proprio, lo rende particolarmente persistente e di difficile individuazione ed eliminazione.

I nostri consigli, validi in generale per ogni forma di Malware/Spyware e derivati, possono essere riassunti nei seguenti punti:

  • Effettuare il download di applicazioni e programmi provenienti solo da siti web affidabili e riconosciuti;
  • Prestare sempre la massima attenzione agli allegati contenuti nelle e-mail: prima di aprire un file o seguire un link contenuto all’interno della comunicazione verificare sempre che si tratti di una comunicazione attesa, proveniente da un mittente affidabile e che all’interno della mail ricevuta non vi siano anomalie nel testo (come ad esempio errori di scrittura, oppure mutazioni nel normale metodo di comunicazione utilizzato da una persona da cui riceviamo periodicamente comunicazioni di posta elettronica). Nel dubbio è necessaria un’ulteriore verifica della veridicità della comunicazione ricevuta, attraverso differente mezzo di comunicazione (come può essere ad esempio il telefono);
  • Non installare software provenienti da fonti sconosciute;
  • Verificare periodicamente l’aggiornamento ed il corretto funzionamento del proprio sistema antivirus.

In ambito aziendale ricordiamo inoltre che è necessaria una corretta formazione dei propri dipendenti, al fine di prepararli ad eventuali attacchi di tipo Phishing, Vishing, Smishing ed altre tecniche di ingegneria sociale.

 

 

 

Tags: GRUPPO ALTEA

Copyright © 2018 GRUPPO ALTEA - Tutti i diritti riservati - Credits

Privacy Policy Cookie Policy