thePONSEL.com – FinFisher, juga dikenal sebagai FinSpy atau Wingbird, adalah alat pengawasan, yang telah dilacak Kaspersky sejak tahun 2011.
Alat ini mampu mengumpulkan berbagai kredensial, daftar dan dokumen yang telah dihapus, jenis data lainnya, streaming langsung, merekam data, hingga mendapatkan akses ke webcam dan mikrofon.
Implan Windows-nya terdeteksi dan diteliti beberapa kali hingga tahun 2018 ketika FinFisher menghilang dari radar dan tidak terdeteksi.
Setelah itu, solusi Kaspersky mendeteksi penginstal mencurigakan dari aplikasi sah seperti TeamViewer, VLC Media Player, dan WinRAR, yang berisikan kode berbahaya dan tidak dapat dikaitkan dengan malware yang telah diketahui.
Hingga sampai suatu hari solusi tersebut menemukan situs web dalam bahasa Burma yang berisi penginstal yang terinfeksi dan sampel FinFisher untuk Android, sehingga membantu mengidentifikasi bahwa mereka telah di-trojan dengan spyware yang sama.
Penemuan ini mendorong para peneliti Kaspersky untuk menyelidiki FinFisher lebih jauh.
Tidak seperti versi spyware sebelumnya, yang langsung berisi Trojan dalam aplikasi yang terinfeksi, kini sampel terbaru dilindungi oleh dua komponen: Pra-validator non-persisten dan Post-Validator.
Komponen pertama menjalankan beberapa pemeriksaan keamanan untuk memastikan bahwa perangkat yang diinfeksi bukan milik peneliti keamanan.
Setelah berhasil melewati pemeriksaan, komponen Post-Validator yang disediakan oleh server akan memastikan bahwa calon korban yang ditargetkan adalah benar.
Dengan begitu server akan memberikan perintah penyebaran platform Trojan yang lengkap. FinFisher sangat dikaburkan dengan empat obfuscator kompleks yang dibuat khusus.
Fungsi utamanya adalah untuk memperlambat analisis spyware. Selain itu, Trojan juga menggunakan cara-cara tidak biasa untuk mengumpulkan informasi.
Misalnya, ia menggunakan mode pengembang di browser untuk mencegat lalu lintas yang dilindungi dengan protokol HTTPS.
Para peneliti juga menemukan sampel FinFisher yang menggantikan bootloader Windows UEFI – komponen meluncurkan sistem operasi setelah peluncuran firmware bersamaan dengan yang berbahaya.
Cara infeksi ini memungkinkan penyerang untuk menginstal bootkit tanpa perlu melewati pemeriksaan keamanan firmware. Infeksi UEFI sangat jarang dan pada umumnya sulit untuk dieksekusi, mereka menonjol karena kemampuan menghindar dan pertahanannya.
Walaupun dalam kasus ini penyerang tidak menginfeksi firmware UEFI itu sendiri, tetapi tahap boot berikutnya, serangan dapat terjadi secara sangat tersembunyi karena modul berbahaya diinstal pada partisi terpisah dan dapat mengontrol proses boot dari mesin yang terinfeksi.
“Kemampuannya untuk menghindar dari analisis dan deteksi inilah yang membuat spyware ini sangat sulit dilacak dan dideteksi. Selain itu, fakta bahwa spyware ini disebarkan dengan presisi tinggi, praktis dan sulit dianalisis juga berarti bahwa korbannya sangat rentan, dan para peneliti tentunya menghadapi tantangan khusus – seperti harus menginvestasikan sejumlah besar sumber daya untuk menguraikan setiap sampel. Saya percaya ancaman kompleks seperti FinFisher menunjukkan pentingnya bagi peneliti keamanan untuk bekerja sama dan bertukar pengetahuan serta berinvestasi dalam jenis solusi keamanan terbaru yang dapat memerangi ancaman tersebut,” komentar Igor Kuznetsov, peneliti keamanan utama di Tim Riset dan Analisis Global Kaspersky (GReAT).
Untuk melindungi diri Anda dari ancaman seperti FinFisher, Kaspersky merekomendasikan untuk:
- Mengunduh aplikasi dan program hanya dari situs web tepercaya.
- Selalu memperbarui sistem operasi dan semua perangkat lunak Anda secara berkala. Banyak masalah keamanan dapat diselesaikan dengan menginstal versi perangkat lunak yang diperbarui.
- Tidak mempercayai lampiran email secara default. Sebelum mengklik untuk membuka lampiran atau mengikuti tautan, pertimbangkan baik-baik: Apakah itu dari seseorang yang Anda kenal dan percayai; apakah itu berisi pesan yang benar; apakah bersih dari komponen berbahaya? Arahkan kursor ke tautan dan lampiran untuk melihat nama ejaan secara seksama.
- Hindari menginstal perangkat lunak dari sumber yang tidak dikenal. Ini mungkin dan sering kali berisi file berbahaya.
- Gunakan solusi keamanan yang kuat di semua komputer dan perangkat seluler, seperti Kaspersky Internet Security for Android atau ?Kaspersky Total Security.
Untuk perlindungan bagi organisasi, Kaspersky menyarankan hal berikut:
- Menetapkan kebijakan untuk penggunaan perangkat lunak non-korporat. Edukasi karyawan Anda tentang risiko mengunduh aplikasi yang tidak sah dari sumber yang tidak tepercaya.
- Berikan staf Anda pelatihan kebersihan keamanan siber dasar, karena banyak serangan yang ditargetkan dimulai dengan phishing atau teknik rekayasa sosial lainnya.
- Instal solusi anti-APT dan EDR (endpoint detection and responses), yang memungkinkan penemuan dan deteksi ancaman, investigasi, dan kemampuan remediasi insiden secara tepat waktu. Berikan tim SOC Anda akses ke intelijen ancaman terbaru dan fasilitasi mereka dengan pelatihan profesional secara teratur. Semua hal di atas tersedia dalam kerangka Kaspersky Expert Security
Selain perlindungan titik akhir yang tepat, layanan khusus dapat membantu melawan serangan profil tinggi. Layanan dari Kaspersky Managed Detection and Response dapat membantu mengidentifikasi dan menghentikan serangan pada tahap awal, sebelum penyerang mencapai tujuannya.