Webcams et microphones, frappes au clavier, exfiltration de fichiers, le spyware FinFisher serait actuellement actif dans sept pays. Et dans deux d’entre eux, les principaux fournisseurs d’accès à Internet seraient impliqués…
Les chercheurs ESET ont détecté des campagnes d’espionnage liées à FinFisher, le célèbre spyware également connu sous le nom de FinSpy. Sept pays, qu’il ne nomme pas pour des questions de sécurité, sont infectés selon l’éditeur de sécurité. Le logiciel espion est vendu en tant qu’outil de surveillance et d’intrusion informatique à une vingtaine d’organismes gouvernementaux à travers le monde, soutient l’éditeur, qui pense que FinFisher a également été utilisé par des régimes autoritaires. Capable d’espionner en direct des images via une webcam ou de faire des écoutes via un microphone, il a reçu un certain nombre de modifications via des correctifs dans sa dernière version. Et cela “Pour se montrer plus intrusif“, précisent les chercheurs, qui précisent qu’il peut “rester sous le radar de détection des solutions de sécurité et empêcher une analyse approfondie de son comportement“. Il a en particulier revu sa méthode pour pénétrer les machines ciblées. Lorsqu’un utilisateur ciblé est sur le point de télécharger une application populaire telle que WhatsApp, Skype ou VLC Player (et potentiellement toute application), il est automatiquement redirigé vers le serveur de l’attaquant. La victime installe alors une version qui inclut un malware de type Trojan et se trouve ainsi directement infectée par FinFisher.
Mécanisme d’infection de la dernière variante de FinFisher
« Sur deux des sept campagnes menées, les logiciels espions se sont propagés au moyen d’une attaque man-in-the-middle. Autrement dit, les communications sont interceptées à l’insu des parties concernées. Nous pensons que les principaux fournisseurs d’accès à Internet de ces deux pays ont joué un rôle crucial dans cette infection », explique Filip Kafka, Malware Analyst chez ESET et à l’origine de cette recherche. Ces campagnes sont les premières à révéler publiquement la probable implication (volontaire ou pas) d’un fournisseur d’accès à Internet dans la diffusion de malwares. “Les campagnes FinFisher sont des projets de surveillance perfectionnés et tenus secrets. Les méthodes utilisées associées à la portée de ces attaques en font une menace sans précédent“, poursuit le chercheur.