idNSA.id - Para ahli menemukan varian baru dari spyware pengawasan FinFisher yang mampu membajak dan menggantikan bootloader UEFI Windows untuk menginfeksi mesin Windows.
Peneliti malware di Kaspersky telah melihat peningkatan baru dari spyware pengawasan FinSpy komersial yang terkenal (juga dikenal sebagai Wingbird), sekarang dapat membajak dan menggantikan bootloader Windows UEFI (Unified Extensible Firmware Interface) untuk menginfeksi mesin target .
Mengganti bootloader UEFI memungkinkan penyerang untuk menginstal bootkit yang tidak dapat dideteksi sebagai solusi keamanan yang berjalan pada mesin dan memungkinkan malware untuk bertahan pada sistem yang terinfeksi.
Pakar Kaspersky membagikan hasil investigasi selama 8 bulan terhadap spyware FinSpy di Security Analyst Summit (SAS) 2021 . Para peneliti menemukan kebingungan empat lapis dan langkah-langkah anti-analisis lanjutan yang digunakan oleh penulis yang saat ini menjadikan FinFisher salah satu spyware yang paling sulit dideteksi hingga saat ini.
Pakar Kaspersky menunjukkan bahwa varian FinFisher yang mereka deteksi tidak menginfeksi firmware UEFI itu sendiri, penyerang mengganti Windows Boot Manager (bootmgfw.efi) dengan yang berbahaya untuk menginfeksi mesin.
“Selama penelitian kami, kami menemukan bootkit UEFI yang memuat FinSpy. Semua mesin yang terinfeksi dengan UEFI bootkit memiliki Windows Boot Manager ( bootmgfw.efi ) diganti dengan yang berbahaya. Ketika UEFI mentransfer eksekusi ke pemuat berbahaya, pertama-tama UEFI menempatkan Windows Boot Manager asli.” membaca analisis yang diterbitkan oleh Kaspersky. “Itu disimpan di dalam direktori efi\microsoft\boot\en-us\ , dengan nama yang terdiri dari karakter heksadesimal. Direktori ini berisi dua file lagi: Winlogon Injector dan Trojan Loader.”
Tidak seperti versi FinSpy sebelumnya, sampel baru memanfaatkan dua komponen untuk mencegah analisis malware, pra-validator non-persisten dan pasca-validator. Yang pertama memastikan bahwa mesin korban tidak digunakan untuk analisis malware, yang terakhir adalah implan gigih yang digunakan untuk memastikan bahwa korban adalah yang dimaksud.
Para ahli juga mengamati bahwa ketika spyware menargetkan mesin yang tidak mendukung UEFI, infeksi melibatkan penggunaan MBR (Master Boot Record).
“Jumlah pekerjaan yang dilakukan untuk membuat FinFisher tidak dapat diakses oleh peneliti keamanan sangat mengkhawatirkan dan agak mengesankan,” tambah Igor Kuznetsov, peneliti keamanan utama di Tim Penelitian dan Analisis Global (GReAT) Kaspersky. “Sepertinya para pengembang melakukan setidaknya pekerjaan yang membingungkan dan tindakan anti-analisis seperti pada Trojan itu sendiri. Akibatnya, kemampuannya untuk menghindari deteksi dan analisis membuat spyware ini sangat sulit untuk dilacak dan dideteksi.”
Para peneliti menerbitkan analisis terperinci dari varian baru FinFisher, laporan tersebut juga mencakup rincian teknis lebih lanjut bersama dengan indikator kompromi (IOC) untuk versi FinFisher untuk Windows, Linux, dan macOS.
