Los proveedores de Internet, objetivo de FinFisher para distribuir software espía
Se trata del primer ataque masivo que utiliza tácticas man-in-the-middle con los operadores como intermediarios afectados.
El laboratorio de ESET, la mayor empresa de seguridad informática con sede en la Unión Europea, ha detectado una campaña de vigilancia que utiliza una nueva variante de FinFisher, el spyware también conocido como FinSpy, y que afecta ya a proveedores de Internet de siete países. Todos los productos de ESET detectan y bloquean esta amenaza identificándola como Win32/FinSpy.AA y Win32/FinSpy.AB.
“En dos de las campañas estudiadas, el spyware se ha distribuido siguiendo un esquema ‘man-in-the-middle’ en el que algunos conocidos proveedores de Internet han actuado como intermediarios”, explica Filip Kafka, analista de malware responsable de la investigación en ESET. Por el contrario, en los otros cinco países afectados las campañas de distribución de este software espía han empleado vectores de ataque tradicionales.
FinFisher es un software espía que se comercializa como una herramienta de asesoramiento legal y que es vendida a organismos gubernamentales de países de todo el mundo. De hecho, se cree que ha sido utilizado por varias dictaduras.
Este malware puede ser usado como herramienta de espionaje, ya que tiene capacidad de realizar acciones de vigilancia en directo a través de webcams o micrófonos, control de registros o extracción de archivos. En esta última versión incluso ha mejorado sus habilidades de espionaje, incorporando nuevos métodos para ocultarse de radares y prevenir su análisis. Sin embargo, apuntan desde ESET que la innovación más interesante es la forma en la que este software espía es distribuido a los equipos objetivo del ataque.
Según explican desde la empresa de seguridad, cuando un usuario va a descargar una aplicación legítima es redireccionado al servidor de los ciberdelincuentes. Desde allí se descarga un paquete de instalación que contiene un troyano infectado con el malware FinFisher. Algunas de las aplicaciones usadas por los ciberdelincuentes para distribuir este software espía han sido las conocidas WhatsApp, Skype, WinRAR o VLC Player entre otras.
“En el trascurso de nuestra investigación encontramos un gran número de indicadores que sugieren que esta redirección ocurre en el ámbito de los grandes proveedores de Internet”, continua Kafka, que confirma que “es la primera vez que se da a conocer la probable participación de proveedores de Internet en la distribución de programas maliciosos”. Además, añade: “estas campañas FinFisher forman parte de sofisticados proyectos de vigilancia sin precedentes en cuanto a los métodos utilizados y el alcance de los mismos”.
¿Cómo saber si el PC está infectado o un usuario ha sido objeto de espionaje?
Todas las soluciones de seguridad de ESET detectan y bloquean esta amenaza, por tanto realizando un simple análisis se eliminaría la infección. Además, los usuarios que no utilicen los productos de la compañía eslovaca pueden usar la herramienta gratuita ESET Online Scanner desde la cual pueden comprobar si su ordenador se ha visto afectado por este u otro software malicioso. Además, podrán eliminarlo en caso de estar infectados.
ESET recuerda que no existe malware benigno, como algunos especialistas de la industria quieren hacer ver cuando son entidades públicas o grandes empresas las que distribuyen este tipo de software malicioso. Para conocer la visión de ESET sobre este asunto, se puede leer la respuesta que la compañía envío a una carta abierta del grupo activista sobre derechos digitales, Bits of Freedom.