FINFISHER: TORNA ALLA CARICA LO SPYWARE CHE INFETTA TRAMITE BOOT MANAGER

computer-2038627_1920_900x400.png

Una nuova versione di FinFisher, noto Spyware commerciale, infetta i sistemi a partire dal Boot Manager del sistema operativo, rendendo la sua presenza molto più difficile da rilevare.

 

FinFisher, noto anche come FinSpy o Wingbird, è un pericoloso Spyware commerciale funzionante su sistemi Microsoft Windows, Linux e Mac OsX. Già noto nelle sue precedenti versioni in quanto difficile da rilevare attraverso un comune antivirus, nella sua ultima evoluzione attacca direttamente il Master Boot Record, una parte dell’hard disk del sistema operativo dedicata all’avvio del sistema. Nel gergo informatico viene definito come Master Boot Record (MBR) il primo settore del disco rigido (hard disk) del computer, composto dai primi 512 byte del disco. Esso contiene una sequenza di comandi o istruzioni necessarie all’avvio (boot) del sistema operativo.

Nel caso di FinFisher, lo spyware si occupa di modificare una parte del Boot Manager di sistema inserendo un frammento del suo codice all’interno, lasciando inalterato il normale funzionamento del restante codice dedicato all’avvio del sistema operativo. In questo modo una parte delle funzionalità di sorveglianza del software vengono caricate in memoria prima dell’avvio del sistema operativo, riuscendo ad occultare in modo più efficiente la sua presenza ad eventuali antivirus o antimalware installati all’interno del sistema.

Successivamente FinFisher è in grado di raccogliere, alla totale insaputa dell’utente, qualsiasi dato in transito sul sistema, come ad esempio documenti, e-mail, cronologia della navigazione dell’utente ecc... È inoltre in grado di accedere ad eventuali webcam o microfoni presenti sul sistema e registrare le informazioni disponibili attraverso tali periferiche. La sua presenza all’interno del Master Boot Record lo rende immune ad una eventuale re-installazione del sistema operativo, poiché una semplice formattazione del dispositivo non è sufficiente all’eliminazione dei dati contenuti all’interno dell’MBR.

Per maggiori approfondimenti sull’argomento vi rimandiamo alla lettura di un’ottima analisi tecnica di FinFisher, effettuata dal personale tecnico di Kaspersky, leggibile gratuitamente al seguente link:

Per maggiore chiarezza ribadiamo alcuni concetti molto importanti che riguardano FinFisher:

I nostri consigli, validi in generale per ogni forma di Malware/Spyware e derivati, possono essere riassunti nei seguenti punti:

In ambito aziendale ricordiamo inoltre che è necessaria una corretta formazione dei propri dipendenti, al fine di prepararli ad eventuali attacchi di tipo Phishing, Vishing, Smishing ed altre tecniche di ingegneria sociale.

 

 

 

Tags: GRUPPO ALTEA