Un malware llamado FinFisher roba datos de equipos con Windows, se instala en el sector de arranque del disco duro y evade las protecciones.
El software de vigilancia FinFisher se ha actualizado y ahora infecta a dispositivos Windows a través de un bootkit UEFI.
Bootkit es un malware peligroso hecho para conseguir acceso «ilegal» a sitios que de otro modo no está permitido.
Según lo han comunicado varias empresas de seguridad como Kaspersky, este malware aprovecha un gestor de arranque de Windows troyanizado y esto es un cambio muy importante debido a que permite eludir que un sistema lo descubra o analice.
FinFisher (conocido como FinSpy y Wingbird también) es un conjunto de herramientas de software espía para Windows, macOS y Linux, fue desarrollado por la empresa Gamma International y se cree que España y 32 países más podrían estar usándolo.
¿Qué información puede robar FinFisher en Windows?
Según varias noticias, FinFisher está equipado para robar credenciales de usuario, listados de archivos, documentos sensibles, grabar pulsaciones de teclas, desviar mensajes de correo electrónico de aplicaciones como Thunderbird, Outlook, Apple Mail e Icedove, interceptar contactos de Skype, chats, llamadas y archivos transferidos e incluso capturar audio y vídeo ya que pueden tener acceso fácil al micrófono y a la cámara web de un equipo.
Pero han añadido una última función, que según los descubrimientos es la capacidad de desplegar un bootkit UEFI para cargar FinSpy, con la que sustituyen el cargador de arranque de UEFI de Windows por una variante maliciosa que ralentiza la ingeniería inversa y el análisis.
«Esta forma de infectar permitió a los atacantes instalar el bootkit sin necesidad de saltarse las comprobaciones de seguridad del firmware», confirmó el Equipo Global de Investigación y Análisis (GReAT) de Kaspersky tras una investigación de 8 meses. «Las infecciones por UEFI son muy raras y bastante difíciles de ejecutar, por eso suelen destacar por su evasión y persistencia».
Bibliografía: