ISP可能正在帮助黑客用FinFisher间谍软件感染你

安全研究人员发现，据报道，包括WhatsApp、Skype、VLC Player和WinRAR在内的几个流行应用程序的合法下载已在ISP级别遭到破坏，以分发臭名昭著的FinFisher间谍软件FinSpy。

FinSpy是一种高度机密的监视工具，之前曾与英国公司Gamma Group有关联。Gamma Group是一家向世界各地的政府机构合法销售监视和间谍软件的公司。
该间谍软件在受感染的计算机上具有广泛的间谍功能，包括通过打开网络摄像头和麦克风秘密进行实时监视，用键盘记录器记录受害者键入的所有内容，拦截Skype通话，并过滤文件。

为了进入目标的机器，FinFisher通常使用各种攻击载体，包括矛式钓鱼、手动安装和物理访问设备、零日漏洞攻击和水坑攻击。

你的ISP可能正在帮助黑客监视你

然而，ESET今天发布的一份新报告称，其研究人员在七个国家发现了利用FinFisher新变种的新监控活动，这些新变种与合法应用捆绑在一起。
但这是怎么发生的？攻击者使用中间人（MitM）攻击将目标锁定在受害者身上，互联网服务提供商（ISP）最有可能充当“中间人”，与FinFisher捆绑合法软件下载。

研究人员说：“在ESET系统检测到最新FinFisher间谍软件的两个国家，我们已经看到这种载体被使用（在剩下的五个国家，这些活动依赖于传统的感染载体）”。

维基解密之前发布的文件还表明，FinFisher制造商还提供了一个名为“FinFly ISP”的工具，该工具应该部署在ISP级别，具备执行此类MitM攻击所需的功能。

此外，感染技术（使用HTTP 307重定向）在两个受感染国家以同样的方式实施，ESET发现这两个国家是新的芬菲舍尔变种的目标。然而，该公司没有将受影响的国家命名为“不让任何人处于危险之中”

支持ISP级MitM攻击的另一个事实是，一个国家内研究人员确定的所有受影响目标都使用同一个ISP。

“最后，至少有一个受影响国家的互联网服务提供商在互联网内容过滤中使用了相同的重定向方法和格式，”ESET报告写道。

FinFisher的新变种针对的热门应用包括WhatsApp、Skype、VLC Player、Avast和WinRAR，ESET研究人员表示，“几乎任何应用都可能以这种方式被滥用”。

以下是攻击的工作原理：

当目标用户在合法网站上搜索其中一个受影响的应用程序并单击其下载链接时，他们的浏览器会收到一个修改后的URL，该URL会将受害者重定向到攻击者服务器上托管的特洛伊木马安装包。

这将导致安装与监视工具捆绑的预期合法应用程序版本。

研究人员说：“通过将合法下载链接替换为恶意链接，可以实现重定向。“恶意链接通过HTTP 307临时重定向状态响应代码发送到用户浏览器，该代码指示请求的内容已临时移动到新的URL”。

据研究人员称，整个重定向过程“肉眼看不见”，在用户不知情的情况下发生。

FinFisher利用了很多新技巧

最新版本的FinFisher采用了新的技巧，使其不被研究人员发现。

研究人员还注意到，最新版本的FinFisher在隐蔽性方面得到了一些技术改进，包括使用自定义代码虚拟化来保护其大多数组件，如内核模式驱动程序。

它还利用了反拆卸技巧，以及大量反沙箱、反调试、反虚拟化和反仿真技巧，旨在破坏端到端加密软件和已知的隐私工具。

研究人员在分析最近的活动时发现了一个名为Threema的安全消息应用程序。

FinFisher间谍软件伪装成名为“Threema”的可执行文件。研究人员说：“这样一个文件可以用来针对关注隐私的用户，因为合法的Threema应用程序提供端到端加密的安全即时消息传递”。“讽刺的是，被骗下载并运行受感染的文件会导致寻求隐私的用户被监视”。

Gamma Group尚未对ESET报告做出回应。