jueves, 4 de diciembre de 2014

Suite FinFisher (Tratar con cuidado)

Hace un tiempo, Wikileaks estuvo informando sobre FinFisher, el programa que usan las agencias gubernamentales para el espionaje entre empresas o paises.

FinFisher es un programa de vigilancia creado por Gamma International, una empresa con sedes en Reino unido y Alemania y que se especializa en monitarización y vigilancia que vende distintas soluciones tanto software como hardware para este cometido.


Aquí os dejo la dirección de un pdf con su portfolio de productos: https://wikileaks.org/spyfiles/files/0/299_GAMMA-201110-FinFisher_Product_Portfolio-en.pdf

No podía olvidarme de dejaros probar un poco de este software, así que os lo he empaquetado en un rar para que lo descargueís y así leeís el artículo original de Hackplayers del que me informé yo.

Recomiendo encarecidamente su manejo con cuidado, ya que no hay que olvidar que estamos tratando con malware de espionaje y no hay que tomarlo a la ligera.

La contraseña de descompresión de los archivos que hay dentro del rar principal la encontrareis en el artículo de Hackplayers que he copiado en un archivo txt dentro del rar.

Analizando el componente FinSpy Master, nos podemos encontrar con estas directivas:

-Borrar archivos (FinTlvTypeDeleteFileRequest)
-Buscar archivos (FinTlvTypeSearchFileRequest)
-Ejecutar línea de comandos (FinTlvTypeStartCmdLineSessionRequest)
-Grabar audio del micrófono (FinTlvTypeStartMicrophoneRequest)
-Grabar video del escritorio del usuario (FinTlvTypeStartScreenRequest, FinTlvTypeStopScreenRequest)
-Grabar video de la cámara web (FinTlvTypeStartWebCamRequest, FinTlvTypeStopWebCamRequest)
-Registrar ingresos del teclado (FinTlvTypeStartKeyLoggingRequest, FinTlvTypeStopKeyLoggingRequest)
-Registrar mensajes, sonido y archivos transferidos de Skype (FinTlvTypeSkypeAudioRecording,
FinTlvTypeSkypeTextRecording, FinTlvTypeSkypeFileRecording)
-Robar documentos que el usuario manda a la impresora (FinTlvTypeSetPrintConfigRequest)
-Robar documentos que el usuario editó o borró (FinTlvTypeSetChangedConfigRequest,FinTlvTypeSetDeletedConfigRequest)
-Programar comandos (FinTlvTypeSetSchedulerConfigRequest, FinTlvTypeSchedulerTaskRecordScreenWhenAppRuns, FinTlvTypeSchedulerTaskRecordMicWhenAppUsesIt, FinTlvTypeSchedulerTaskRecordWebCamWhenAppUsesIt, etc.)
-Removerse a sí mismo mediante el envío de un comando o cuando pasa un determinado tiempo desde la instalación (calendarizado) (FinTlvTypeConfigAutoRemovalDateTime, FinTlvTypeInternalAutoRemovalElapsedTime, FinTlvTypeRemoveItselfMaxInfectionReached, FinTlvTypeRemoveItselfAtMasterRequest)

Aparte de todo esto, también recolecta otros datos como la dirección IP, el nombre del PC, la version de Windows, el nombre del usuario, la zona horaria y la fecha y la hora.

De los archivos en cuestión he encontrado los resultados de unas muestras analizadas por ESET:
Nombre del archivo
Detección de ESET
ffrelay-debian-4.30.ggi.zipLinux/Belesak.A
finspy_proxy.zipLinux/Belesak.A
finspy_master.zip                          Linux/Belesak.A-K
finfisher.1.zipWin32/Belesak.A Trojan
finfisher.2.zipWin32/Belesak.A Trojan

Los tres primeros componentes (Relay, Proxy y Master) son componentes estilo servidor, los que hacen el trabajo sucio de infectar la máquina son FinFisher1 y 2 que al estar instalados en el ordenador víctima permiten entre otras cosas grabar conversaciones y video de Skype, ejecutar comandos, buscar y eliminar archivos... etc

Suite FinFisher y Artículo Hackplayers - Descarga Box

No hay comentarios:

Publicar un comentario

Related Posts Plugin for WordPress, Blogger...