Os investigadores da ESET detetaram novas campanhas de vigilância que utilizam uma nova variante do FinFisher, um spyware também conhecido como FinSpy. Sete países foram afetados e em dois deles, alguns dos principais provedores de Internet podem estar envolvidos na infeção dos alvos de vigilância.
O FinFisher possui amplas capacidades de espionagem, como vigilância ao vivo através de webcams e microfones, keylogging e exfiltração de arquivos. O que diferencia esta de outras ferramentas de vigilância, no entanto, são as controvérsias em torno das suas implementações. O FinFisher é comercializado como uma ferramenta que auxilia a aplicação da lei, mas, no entanto, acredita-se que seja também utilizado por regimes opressores.
As campanhas do FinFisher utilizam vários mecanismos de infeção, incluindo spearphishing, instalações manuais com acesso físico a dispositivos, explorações de vulnerabilidades nos sistemas e contaminação de sites que os alvos costumam visitar.
O que é novo – e mais preocupante – acerca destas novas campanhas no que diz respeito à distribuição é que os atacantes utilizam um ataque man-in-the-middle, com este intermediário a operar normalmente ao nível do ISP.
Quando o utilizador – o alvo da vigilância – está preparado para descarregar uma das populares (e legítimas) aplicações, é redirecionado para uma versão dessa aplicação que foi infetada com o FinFisher. As aplicações que até agora foram mal utilizadas para espalhar esta ameaça foram, entre outras, o WhatsApp, Skype, WinRAR, VLC Player, entre outras. É importante salientarmos que qualquer aplicação existente no mercado pode ser modificada desta forma.
O ataque começa com o utilizador a pesquisar por uma das aplicações afetadas em sites legítimos. No entanto, quando o utilizador dá um clique na ligação para download, é servido ao browser um link modificado que o redireciona para descarregar um pacote de instalação malicioso que se encontra alojado no servidor do atacante. Quando descarregado e executado, instala não só a aplicação legítima, mas também o spyware FinFisher.