Lo spyware FinSpy può sostituire il bootloader UEFI di Windows.

Redazione RHC : 29 Settembre 2021 12:40

Abbiamo parlato molto di Pegasus nei mesi scorsi, ma come abbiamo detto in precedenza, non esiste solo la NSO Group tra quelle aziende che vengono definite come PSOA (private sector offensive actors).

I ricercatori di sicurezza di Kaspersky Lab hanno scoperto una nuova versione dello spyware FinSpy che intercetta il controllo e sostituisce il bootloader UEFI di Windows per infettare i sistemi informatici. Questo metodo ha consentito agli aggressori di installare un bootkit senza dover bypassare i controlli di sicurezza del firmware.

Secondo gli esperti, l’infezione sullo UEFI (Unified Extensible Firmware Interface) è rara e difficile da implementare. Sebbene in questo caso gli aggressori non abbiano infettato il firmware UEFI stesso, ma la sua fase di avvio successiva, l’attacco è stato particolarmente nascosto, poiché il modulo dannoso è stato installato su una partizione separata e potrebbe controllare il processo di avvio del dispositivo infetto.

Come notato dai ricercatori, è uno dei programmi spyware più difficili da rilevare oggi. Lo spyware viene fornito con quattro diversi livelli di offuscamento oltre al vettore del bootkit UEFI.

A differenza delle versioni precedenti di FinSpy, che contenevano il Trojan nell’applicazione infetta, i nuovi campioni sono ora protetti da due componenti: un pre-validatore volatile e un post-validatore.

“Il primo componente esegue diversi controlli di sicurezza per garantire che il dispositivo attaccato non appartenga a un ricercatore di sicurezza informatica. Solo dopo aver superato il controllo, il server fornisce un componente post-validazione. A questo punto il server sarà in grado di distribuire software Trojan per infettare la vittima”

hanno spiegato gli esperti.

Lo spyware contiene quattro sofisticati offuscatori personalizzati progettati per rallentare l’analisi dello spyware. Inoltre, il Trojan può utilizzare la modalità sviluppatore nei browser per intercettare il traffico protetto dal protocollo HTTPS.

Su tutti i computer infetti dal bootkit UEFI, il Boot Manager di Windows (bootmgfw.efi) è stato sostituito con uno dannoso. Quando lo UEFI passa l’esecuzione a un bootloader dannoso, prima individua e sostituisce il Boot Manager di Windows originale con una versione con patch in grado di ignorare tutti i controlli di sicurezza.

L’infezione tramite MBR (Master Boot Record) è stata registrata su dispositivi meno recenti senza supporto UEFI.

Redazione
La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.