ESET: Providers voorzien downloads van overheidsspyware

Internetproviders in twee landen voorzien populaire downloads zoals WhatsApp, VLC, WinRAR, Skype en Avast van overheidsspyware genaamd FinFisher, zo waarschuwt anti-virusbedrijf ESET vandaag. Via de FinFisher-spyware wordt volledige controle over het systeem verkregen en is het mogelijk om live met de webcam mee te kijken en de microfoon af te luisteren.

De spyware, die voor overheden wordt ontwikkeld, kan op verschillende manieren worden verspreid, zoals spear-phishingaanvallen, fysieke toegang tot een systeem en zeroday-exploits. Dit jaar zijn er al twee zeroday-lekken in Microsoft Office en .NET gebruikt om FinFisher, ook wel FinSpy en WingBird genoemd, te verspreiden. Onderzoekers van ESET ontdekten ook een andere methode, namelijk een man-in-the-middle-aanval door de internetprovider van het doelwit.

Als het doelwit van de surveillance-operatie een populaire applicatie wil downloaden, zoals WhatsApp, VLC, WinRAR, Skype en Avast, wordt hij door de provider doorgestuurd naar de server van de aanvallers. Daar wordt een getrojaniseerde versie van de applicatie aangeboden. Tijdens de installatie wordt vervolgens de legitieme applicatie en de FinFisher-spyware geinstalleerd. De nieuwe variant van de FinFisher-spyware die hierbij wordt geinstalleerd is in zeven landen waargenomen.

ESET stelt dat het de namen van deze landen niet zal noemen, om te voorkomen dat mensen gevaar zullen lopen. “In twee van de campagnes werd de malware via een man-in-the-middle-aanval verspreid en wij denken dat grote internetproviders de rol van man-in-the-middle hebben gespeeld”, aldus onderzoeker Filip Kafka. Volgens Kafka zijn deze twee campagnes de eerste waar de vermoedelijke betrokkenheid van grote internetproviders in het verspreiden van malware openbaar is gemaakt. In de overige landen werd FinFisher op de ‘traditionele’ wijze verspreid. ESET heeft de ioc’s van de nu ontdekte variant vrijgegeven en meldt dat de gratis online scanner de spyware kan detecteren en verwijderen.

Bron: Security.nl

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *