Mercado fechará em 6 h 15 min
  • BOVESPA

    114.428,18
    -219,81 (-0,19%)
     
  • MERVAL

    38.390,84
    +233,89 (+0,61%)
     
  • MXX

    52.686,03
    -112,35 (-0,21%)
     
  • PETROLEO CRU

    82,96
    +0,52 (+0,63%)
     
  • OURO

    1.779,40
    +13,70 (+0,78%)
     
  • BTC-USD

    62.429,16
    +1.490,50 (+2,45%)
     
  • CMC Crypto 200

    1.457,14
    +5,51 (+0,38%)
     
  • S&P500

    4.486,46
    +15,09 (+0,34%)
     
  • DOW JONES

    35.258,61
    -36,15 (-0,10%)
     
  • FTSE

    7.205,17
    +1,34 (+0,02%)
     
  • HANG SENG

    25.787,21
    +377,46 (+1,49%)
     
  • NIKKEI

    29.215,52
    +190,06 (+0,65%)
     
  • NASDAQ

    15.340,00
    +49,50 (+0,32%)
     
  • BATS 1000 Index

    0,0000
    0,0000 (0,00%)
     
  • EURO/R$

    6,4612
    +0,0697 (+1,09%)
     

Não adianta formatar: malware criado para espiões controla computador antes de carregar o sistema

·3 minuto de leitura
Não adianta formatar: malware criado para espiões controla computador antes de carregar o sistema
Não adianta formatar: malware criado para espiões controla computador antes de carregar o sistema

O FinSpy, também conhecido como FinFisher ou Wingbird, é um spyware (tipo de malware usado para espionagem) composto por um conjunto poderoso de ferramentas de vigilância. Capaz de espionar praticamente tudo dentro da máquina e de coletar diversas informações de usuário, o FinSpy foi atualizado para controlar computadores desde o sistema de boot.

Ou seja, ele age naquele processo de inicialização de uma máquina até o carregamento do sistema operacional, fazendo com que nem a formatação do computador resolva o problema.

Especialistas da Kaspersky, empresa de segurança digital, estudam o FinSpy desde 2011, quando seu modo de ação era por meio de instaladores adulterados de aplicativos legítimos, como TeamViewer, VLC e WinRAR. As atualizações subsequentes em 2014 permitiram infecções por meio de bootkits Master Boot Record (MBR), com o objetivo de injetar um carregador malicioso de uma maneira projetada para se passar por ferramentas de segurança.

Desde o boot

A nova capacidade do FinSpy é de infectar o bootkit da interface UEFI (Interface Unificada de Firmware Extensível) e substituir o bootloader do Windows por uma variante maliciosa para carregar o spyware. A interface de firmware UEFI é uma melhoria em relação ao sistema básico de entrada/saída (BIOS) com suporte para inicialização segura. Ela age na integridade do sistema operacional para garantir que nenhum malware interfira no processo de inicialização.

Como a UEFI também facilita o carregamento do próprio sistema operacional, as infecções de bootkit são resistentes à reinstalação do SO ou mesmo à formatação ou substituição da mídia – trocar o drive, seja disco rígido ou SSD. Além disso, elas são imperceptíveis para as soluções de segurança em execução no sistema operacional.

Leia mais:

Um malware que dribla a segurança

Ao contrário das versões anteriores do FinSpy, que continham o cavalo de Tróia no aplicativo infectado imediatamente, a Kaspersky descobriu que as amostras de agora são protegidas por dois componentes: um pré-validador não persistente e um pós-validador.

Segundo o relatório da Kaspersky, “o primeiro componente executa várias verificações de segurança para garantir que o dispositivo que está infectando não pertence a um pesquisador de segurança. Somente quando as verificações são aprovadas, o componente pós-validador é fornecido pelo servidor”.

“Esse componente garante que a vítima infectada seja a vítima. Só então o servidor comandaria a implantação da plataforma de Trojan completa”, segue o relatório.

O FinSpy apresenta quatro obscurecedores complexos feitos sob medida para retardar a análise do spyware. Além disso, o trojan é capaz de usar o modo de desenvolvedor em navegadores para interceptar o tráfego protegido com o protocolo HTTPS.

Persistência em espionar

“As infecções por UEFI são muito raras e geralmente difíceis de executar, mas se destacam por sua evasão e persistência”, afirmam Igor Kuznetsov e Georgy Kucherin, pesquisadores da Kaspersky. Os especialistas em segurança consideram o FinSpy “um dos spywares mais difíceis de detectar até hoje”.

O FinSpy é trabalhado para coletar credenciais de usuário, listagens de arquivos, documentos confidenciais, gravar pressionamentos de tecla, desviar mensagens de e-mail. Além disso, o spyware é capaz de interceptar chats, chamadas e arquivos transferidos e capturar áudio e vídeo por meio de microfone e webcam de uma máquina.

Não foram hackers que inventaram isso. É malware profissionalmente desenvolvido pela empresa anglo-alemã Gamma International, sendo fornecido exclusivamente para agências de segurança pública e inteligência. Uma lista que inclui regimes autoritários como os do Egito e do Bahrein – só entre os que são conhecidos. Por isso, a empresa é alvo de denúncias de entidades de direitos humanos.

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal.

Imagem: PashaIgnatov/iStock

Nosso objetivo é criar um lugar seguro e atraente onde usuários possam se conectar uns com os outros baseados em interesses e paixões. Para melhorar a experiência de participantes da comunidade, estamos suspendendo temporariamente os comentários de artigos