Des variantes de FinSpy ciblent les usagers de Mac et Linux

Le logiciel espion commercial FinSpy est de retour dans des campagnes de piratage récemment observées contre des organisations et des militants en Égypte. Alors que le logiciel espion ciblait auparavant les utilisateurs de Windows, iOS et Android, les chercheurs ont découvert ces campagnes à l’aide de nouvelles variantes ciblant les utilisateurs de macOS et Linux.

FinSpy est une suite logicielle de surveillance à part entière, qui a la capacité d’intercepter les communications des victimes, d’accéder aux données privées et d’enregistrer des enregistrements audio et vidéo, selon Amnesty International, qui a découvert les nouvelles variantes récentes. Il est utilisé par les forces de l’ordre et les agences gouvernementales du monde entier depuis 2011.

Cependant, les chercheurs ont récemment découvert des échantillons FinSpy inédits qui sont utilisés dans des campagnes depuis octobre 2019. Ces exemples incluent «Jabuka.app», une variante FinSpy pour macOS, et «PDF», une variante FinSpy pour Linux. Les deux ont été révélés publiquement pour la première fois récemment.

«Grâce à des investigations techniques supplémentaires sur cette variante la plus récente, le laboratoire de sécurité d’Amnesty International a également découvert, exposés en ligne par un acteur inconnu, de nouveaux échantillons de FinSpy pour Windows, Android et des versions précédemment non divulguées pour les ordinateurs Linux et MacOS», ont déclaré des chercheurs d’Amnesty International dans une analyse.

Le passé de FinSpy

FinSpy est opérationnel depuis 2011, mais ces dernières années, des chercheurs ont repéré des campagnes exploitant les logiciels espions en adoptant des approches plus innovantes.

En Mars 2019, Amnesty International a publié un rapport analysant les attaques d’hameçonnage qui ciblaient des défenseurs des droits humains égyptiens et le personnel des médias et des organisations de la société civile. Ces attaques, menées par un groupe connu sous le nom de «NilePhish», ont distribué des échantillons de FinSpy pour Microsoft Windows via un faux site de téléchargement d’Adobe Flash Player.

En Juin 2019, les chercheurs de Kaspersky ont déclaré avoir vu de nouvelles instances de logiciels espions dans la télémétrie de l’entreprise, y compris une activité enregistrée au Myanmar le mois dernier. Selon Kaspersky, plusieurs dizaines d’appareils mobiles uniques ont été infectés au cours de l’année écoulée, en utilisant des implants remaniés. Ces nouvelles variantes ciblaient les appareils Android et iOS.

Nouveaux échantillons de FinSpy

Les attaques les plus récentes publiées cette semaine continuent de cibler les organisations de la société civile égyptienne. Les chercheurs ont déclaré que l’échantillon FinSpy pour macOS «utilise une chaîne assez complexe pour infecter le système, et les développeurs ont pris des mesures pour compliquer son analyse».

L’échantillon est unique en ce que tous ses binaires sont obscurcis avec l’open source LLVM-obfuscator, qui a été développé par une équipe de recherche en 2013. Cependant, selon Patrick Wardle, chercheur en sécurité chez Jamf, l’obfuscation est facile à contourner.

“Bonne nouvelle, cette obscurcissement n’entrave pas vraiment l’analyse”, a-t-il déclaré dans une analyse détaillée. «On peut simplement le faire défiler dans un désassembleur, ou dans un débogueur définir des points d’arrêt sur du code pertinent (non obscurci).»

FinSpy

Une fois téléchargé, la première étape du logiciel espion effectue des vérifications pour détecter s’il s’exécute dans une machine virtuelle (VM). Sinon, il déchiffre une archive ZIP, qui contient le programme d’installation et les binaires pour l’élévation des privilèges (y compris un qui exploite une faille dans macOS X et un autre avec un exploit Python pour CVE-2015-5889, qui existe dans le composant remote_cmds dans Apple OS X avant la version 10.11).

«Cette première étape utilise les exploits pour obtenir un accès root», ont déclaré les chercheurs d’Amnesty International. «Si aucun d’entre eux ne fonctionne, il demandera à l’utilisateur d’accorder des autorisations root pour lancer le programme d’installation de la prochaine étape.»

La charge utile Linux quant à elle est très similaire à la version macOS, ce qui, selon les chercheurs, suggère une base de code partagée. Cependant, les lanceurs et la chaîne d’infection sont adaptés pour fonctionner sur les systèmes Linux, le fichier «PDF» obtenu du serveur étant un court script contenant des binaires codés pour Linux 32 bits et 64 bits.

FinSpy

Une fois téléchargé, le fichier extrait un programme d’installation et l’exécute, il vérifie ensuite que le système n’est pas sur une machine virtuelle avant d’extraire une charge utile de première étape. Comme son homologue macOS, FinSpy pour Linux est également obscurci à l’aide de LLVM-Obfuscator.

Les variantes de logiciels malveillants pour macOS et Linux incluent une grande liste de modules avec des capacités d’enregistrement de frappe, de planification et d’enregistrement d’écran. Ils ont également la capacité de voler des e-mails en installant un module complémentaire malveillant sur Apple Main et Thunderbird, qui envoie les e-mails que FinSpy doit collecter, et la capacité de collecter des informations sur les réseaux Wi-Fi.

«FinSpy pour Mac OS, et de même son homologue Linux, suivent une conception modulaire», ont déclaré les chercheurs. «Le lanceur logind instancie uniquement le composant principal dataPkg, qui supervise les communications avec le serveur de commande et de contrôle (C&C), et le déchiffrement/lancement des modules en cas de besoin.»

Si cet article vous a plu, jetez un œil à notre article précédent.

S’abonner
Notifier de
guest
0 Commentaires
Inline Feedbacks
View all comments
0
Would love your thoughts, please comment.x
()
x