Il y a quelques mois, un groupe de chercheurs du CitizenLab, de l'Université de Toronto Munk School of Global Affair, travaillant en collaboration avec Bloomberg News, analysèrent une pièce jointe suspecte qui avait été envoyée par courrier électronique aux activistes de Bahreïn. CitizenLab a créé une signature de l'exécutable malveillant et l'a comparé avec des applications et des outils connus. Les chercheurs ont trouvé une similitude avec une version de démonstration de FinFisher.
FinFisher, de la société britannique Gamma International, est un logiciel de ''déploiement et d'écoute à distance'' utilisé par certains organismes d'application de la loi pour la surveillance, la pénétration dans les systèmes cibles et l'accès aux informations stockées.
FinFisher surveille secrètement les ordinateurs qui utilisent une webcam, enregistre les frappes au clavier grâce à un keylogger, et surveille les communications via Skype (1).
Il peut contourner les logiciels de sécurité les plus communs, communiquer discrètement à distance avec des serveurs. La communication est établie dans le contexte du processus d'Internet Explorer, qui est souvent utilisé comme pour contourner le pare-feu local de façon simple car I.E est réputé être une application sûre (2). Dans un cas au moins, le serveur est situé à l'adresse 77.69.140.194.
Les chercheurs de Rapid7 (éditeur de Metasploit) ont analysé le même échantillon pour comprendre son infrastructure de commande et contrôle. L'équipe a découvert, comme à Bahreïn, des serveurs aux Émirats arabes unis, au Qatar, en Éthiopie, en Mongolie, aux Etats Unis, en Australie, en Indonésie et en Europe : République Tchèque, Estonie, Lettonie.
Le code binaire de ce maliciel est déguisé en image .jpg (3).
The malware is already available on VirusTotal, which shows some decent Antivirus coverage:
https://www.virustot...18b5c/analysis/
The binary is disguised as a JPG picture, in fact the file name contains the Unicode Right-to-Left Override character in front that whenever displayed in ANSI mode, it will look reversed making the disguise more realistic: in this case “exe.Rajab1.jpg”.
Une analyse complète de la bestiole a été réalisée par Claudio Guarnieri : Analysis of the FinFisher Lawful Interception Malware
@+
… (1) … Depuis que le code source de Skype a été révélé en grande partie, ce logiciel est devenu encore plus la cible de tous les malveillants. Son appartenance à Microsoft n'arrange rien.
… (2) … Conseil : neutralisez Internet Explorer avec votre pare feu ou envoyez le systématiquement dans une ''sandbox'' si vous le pouvez. Méfiez-vous de Chrome. Utilisez Firefox ou Opera.
… (3) … Il n'est plus possible de faire confiance aux images venues de n'importe où. Même les ''jpg'' réputées fiables il y a encore deux ou trois ans ans sont maintenant des vecteurs de malwares.