Malware Uncategories

แผนการ FinFisher: ผู้ให้บริการอินเตอร์เน็ตมีเอี่ยวหรือเปล่า?

เป็นไปได้หรือไม่ที่ผู้ให้บริการอินเตอร์เน็ต (ISP) จะเป็นผู้อยู่เบื้องหลังการแพร่กระจายมัลแวร์

แผนการตรวจตราใหม่ FinFisher หรือสปายแวร์ที่รู้จักกันในชื่อ FinSpy ที่ขายให้กับรัฐบาลและเอเจนซี่ทั่วโลก ล่าสุดมีข่าวว่าผู้ให้บริการอินเตอร์เน็ต (ISP) มีส่วนเกี่ยวข้องด้วย

FinFisher มีความสามารถในการสอดแนมที่หลากหลาย อย่างเช่นการสอดแนมผ่านเว็บแคม ไมค์ และ Keylogging และถูกใช้เป็นเครื่องมือของผู้บริหารระบอบปกครองที่เอาเปรียบประชาชน

พวกเราพบ FinFisher เวอร์ชั่นล่าสุดใน 7 ประเทศ: แต่เราไม่สามารถเขียนลงบนพื้นที่สาธารณะได้

ขั้นตอนเข้าถึงเป้าหมาย

แผนการ FinFisher มีกระบวนการแพร่กระจายที่หลากหลาย ทั้ง Spearphishing การติดตั้งทั่วไป การเจาะช่องโหว่ และ Watering hole attacks (การบรรจุไวรัสไว้บนเว็บไซต์ที่คาดว่าเป้าหมายจะเข้า)

เรื่องน่าหนักใจที่สุดของแผนการล่าสุดของ FinFisher ก็คือ man-in-the-middle หรือคนกลางนั่นเอง ซึ่งคนกลางที่ว่านั่นเป็นผู้ที่อยู่ในระดับที่สามารถดำเนินงานบริการอินเตอร์เน็ตเสียเอง พวกเราเห็นจากสองประเทศที่เราพบ FinFisher Spyware ส่วนอีก 5 ประเทศไม่ได้ใช้วิธีนี้

เมื่อผู้ใช้ (หรือเป้าหมาย) กำลังจะดาวน์โหลดโปรแกรมที่กำลังเป็นที่นิยม พวกเขาจะถูกเปลี่ยนเส้นทางให้ดาวน์โหลดโปรแกรมที่ถูกฝัง FinFisher ลงไป

โปรแกรมที่เราพบ FinFisher ฝังอยู่อย่างเช่น WhatsApp, Skype, Avast, WinRaR, VLC Player และอื่นๆ

การโจมตีเริ่มขึ้นเมื่อผู้ใช้เสิร์ชหาโปรแกรมที่อยู่ในแผนการของ FinFisher บนเว็บไซต์ของโปรแกรมนั้นๆ และเมื่อผู้ใช้คลิกที่ลิงก์ดาวน์โหลด เบราว์เซอร์ของพวกเขาก็จะเปลี่ยนลิงก์ที่จะพาไปยังไฟล์ที่ดัดแปลงเอาไว้ และเมื่อไหร่ก็ตามที่ไฟล์นั้นถูกดาวน์โหลดและติดตั้ง นอกจากผู้ใช้จะได้โปรแกรมแล้ว ยังได้ FinFisher ติดไปด้วย

Figure1-768x306

ลิงก์ที่มีไฟล์อันตรายดังกล่าวจะถูกส่งผ่าน HTTP 307 และเปลี่ยนเส้นทางสถานะของโค้ดให้ไป URL ใหม่ โดยกระบวนการนี้เกิดขึ้นโดยที่ผู้ใช้ไม่สามารถสังเกตเห็นได้

Figure2-768x829

FinFisher: การทำงานอยู่ใต้เรดาร์

เวอร์ชั่นล่าสุดของ FinFisher ได้พัฒนาระบบให้ทำงานและซ่อนตัวได้อย่างยอดเยี่ยม ตัวสปายแวร์ใช้โค้ดเพื่อบดบังส่วนประกอบหลักของตัวมันเอง รวมถึง Kernel-Mode Driver และโค้ดดังกล่าวไม่สามารถแยกออกมาได้ ทำให้การวิเคราะห์ไฟล์ทำได้ยากขึ้น

วิธีป้องกันสำหรับผู้ใช้

เมื่อพวกเราทำการวิเคราะห์ เราพบหนึ่งสิ่งที่น่าสนใจก็คือ FinFisher นั้นแปลงร่างตัวเองให้เป็นไฟล์ .EXE ที่ชื่อว่า “Threema” ซึ่งมีความสามารถในการเข้ารหัสข้อความแบบ end-to-end แต่แท้ที่จริงแล้วสิ่งที่มันทำก็คือการสอดแนมผู้ใช้

ใครคือ “man” in the middle?

เป็นไปได้ที่ “man” in the middle อาจเป็นเพียงผู้ให้บริการ Wi-Fi แต่จากที่เราเห็นเป็นไปได้ว่าจะเป็นคนที่อยู่ในระดับสูงกว่านั้นอย่างผู้ให้บริการอินเตอร์เน็ต (ISP)

สมมติฐานนี้สอดคล้องกับข้อมูลบน WikiLeaks กับประเด็นของ “FinFly ISP” ที่มีผู้ให้บริการอินเตอร์เน็ตที่มีความสามารถพอที่จะเป็น man-in-the-middle กับโปรโตคอล HTTP 307 ที่เหมือนกับในสองประเทศที่เราพบ FinFisher

สำหรับผู้ใช้ที่มีคำถามว่าตัวเองจะได้รับผลกระทบหรือเปล่า?

ทุกผลิตภัณฑ์ของ ESET สามารถตรวจจับ FinFisher ได้ในชื่อ Win32/FinSpy.AA และ Win32/FinSpy.AB สำหรับผู้ใช้ที่ไม่มีสามารถใช้ ESET Online Scanner ของเราเพื่อสแกนคอมพิวเตอร์และถอนมัลแวร์ออกได้ฟรี

Screen Shot 2560-09-25 at 5.00.08 PM

Screen Shot 2560-09-25 at 5.00.35 PM

Author: Filip Kafka
Source: https://www.welivesecurity.com/2017/09/21/new-finfisher-surveillance-campaigns/
Translated by: Worapon H.

%d bloggers like this: