Следующая новость
Предыдущая новость

Исследователи считают, что в распространении малвари FinFisher участвуют интернет-провайдеры

23.09.2017 0:45
Исследователи считают, что в распространении малвари FinFisher участвуют интернет-провайдеры

Спайварь FinFisher, так же известная как FinSpy, была создана много лет назад компанией Gamma Group International (Мюнхен, Германия), а ее продажей занимается дочерняя компания Gamma Group в Великобритании. В основном FinFisher распространяется среди правительственных агентств и правоохранительных органов разных стран, но Gamma Group неоднократно ловили на продаже своих решений странам с диктаторскими режимами, так что ИБ-эксперты давно рассматривают это ПО как обычную и весьма опасную малварь.

FinFisher представляет собой классический образчик шпионского ПО, может включать камеры и микрофоны на зараженной машине, перехватывать нажатия клавиш, похищать файлы, «подслушивать» звонки через Skype и так далее.

Как правило, FinFisher распространяется так же, как другая малварь, посредством направленного фишинга, 0-day эксплоитов, drive-by загрузок, атак типа watering hole и так далее. Но теперь специалисты компании ESET заявляют, что FinFisher выходит на новый уровень, и к распространению подключились интернет провайдеры двух стран.

Так как компании-провайдеры могут контролировать трафик своих клиентов, они используют эту возможность для осуществления своеобразных MitM-атак. Когда пользователь пытается скачать определенную программу, его незаметно переадресуют на вредоносную версию этого ПО, содержащую FinFisher. Для этого провайдеры используют HTTP 307 Temporary Redirect.

Исследователи считают, что в распространении малвари FinFisher участвуют интернет-провайдеры

По данным исследователей, таким образом провайдеры подменяют такие популярные приложения, как WhatsApp, Skype, Avast, WinRAR, VLC Player и многие другие. Аналитики ESET не раскрывают названия этих компаний-провайдеров «чтобы не подвергать никого опасности».

Стоит заметить, что выводы ESET подтверждаются и документами, опубликованными на Wikileaks. Согласно этим бумагам (PDF), один из пакетов FinFisher (FinFly ISP), распространяемых Gamma Group, предназначен для установки на уровне интернет-провайдеров.

Источник

Последние новости