Phần mềm độc hại FinFisher được cập nhật: giờ đây phần mềm này có khả năng lây nhiễm máy tính Windows mà không bị UEFI Bootkit phát hiện

Một mối đe dọa mới xuất hiện trên các máy tính chạy Windows. Nếu gần đây bạn đã nghe nói về phần mềm Pegasus, thì bây giờ bạn có thể bắt đầu đọc về phần mềm giám sát FinFisher, một sự phát triển đã được hoàn thiện để lây nhiễm các thiết bị Windows mà không bị phát hiện

"

FinFisher là phần mềm giám sát được phát triển bởi Gamma International. Còn được gọi là FinSpy hoặc Wingbird, phần mềm độc hại này lợi dụng bộ tải khởi động Windows mà nó đã hoạt động, đạt được mức độ hiệu quả cao khi nó quản lý để ngăn chặn hệ thống phát hiện ra nó."

Chống cài đặt lại và thay đổi ổ cứng

FinFisher là bộ công cụ phần mềm gián điệp dành cho Windows, macOS và Linux do công ty Anh-Đức Gamma International phát triển và chính thức dành cho cơ quan thực thi pháp luật. bảo mật , thực hiện các hành động của mình thông qua hệ thống này được cài đặt trong thiết bị và dụng cụ của đối tượng cần điều tra.

Vấn đề là hiện tại, như các nhà nghiên cứu của Kaspersky đã phát hiện, FinFisher đã được cập nhật thành infect Windows devices using a UEFI bootkit ( Unified Giao diện phần sụn mở rộng). Bằng cách này, nó hoạt động mà máy tính không phát hiện ra rằng nó đã được cài đặt.

UEFI về cơ bản là sự kế thừa của BIOS (Hệ thống Đầu vào Đầu ra Cơ bản), được tạo ra vào năm 1975.Chống lại điều này, UEFI, từ viết tắt của Giao diện phần sụn mở rộng hợp nhất, là phần sụn kế thừa, được viết bằng C, cho BIOS, một sự phát triển cung cấp giao diện đồ họa hiện đại hơn nhiều, hệ thống khởi động an toàn, tốc độ khởi động lớn hơn hoặc hỗ trợ ổ cứng. ổ đĩa lớn hơn 2 TB.

UEFI có hỗ trợ Khởi động an toàn, đảm bảo tính toàn vẹn của hệ điều hành để đảm bảo không có phần mềm độc hại nào can thiệp vào quá trình khởi động , là một trong những yêu cầu để sử dụng Windows 11.

"

FinFisher hiện đã phát triển và có một tính năng mới cho phép nó triển khai bộ khởi động UEFI để tải, với các mẫu mới có properties thay thế bộ tải khởi động Windows UEFI do một biến thể độc hại Nếu vẫn chưa đủ, biến thể này đã được tối ưu hóa>"

"

Theo lời của nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky hình thức lây nhiễm này cho phép kẻ tấn công cài đặt bộ công cụ khởi động mà không cần phải vượt qua bảo mật phần sụn Séc.Lây nhiễm UEFI rất hiếm và thường khó thực hiện, đáng chú ý là khả năng trốn tránh và tồn tại dai dẳng của chúng."

Mục tiêu của FinFisher không gì khác hơn là truy cập dữ liệu người dùng, có thể là thông tin đăng nhập, tài liệu, cuộc gọi, tin nhắn... Thậm chí có thể đọc và ghi lại các thao tác gõ phím, chuyển tiếp email từ Thunderbird, Outlook, Apple Mail và Icedove, đồng thời thu âm thanh và video bằng cách truy cập vào micrô và webcam của máy tính.

Thấy được điều này, UEFI, nơi có vẻ an toàn, biệt lập và gần như không thể truy cập, sẽ phải được các công cụ bảo mật giám sát chặt chẽ hơn khi tìm kiếm phần mềm độc hại trên máy tính.

Via | Tin tặc Tin tức Inside Image | Bản tin tin tặc