Novas variantes do FinSpy multiplataforma agora têm como alvo usuários de Mac e Linux

Freqüentemente usada por agências de segurança pública e governamentais em todo o mundo desde 2011, esta ferramenta agora foi aprimorada para atingir usuários de Mac e Linux, tornando-se uma plataforma verdadeiramente cruzada entre todos os principais sistemas operacionais do mercado.

Última descoberta

Recentemente, pesquisadores da Anistia Internacional observaram várias campanhas FinSpy visando usuários macOS e Linux no Egito. As variantes do Windows, Android e iOS já estão disponíveis há algum tempo.

• As novas variantes do FinSpy têm sido usadas para atingir os defensores dos direitos humanos egípcios, a mídia e as organizações da sociedade civil.
• As variantes recém-descobertas do FinSpy incluem Jabuka.app para Mac OS e PDF para Linux, ambos divulgados pela primeira vez. 
• Essas versões mais recentes exploraram um bug no Mac OS X <10.9 (corrigido em 2013 ou 2014) e o exploit Python para CVE-2015-5889 (direcionado para Apple OS X antes de 10.11).
• Os pesquisadores também descobriram as variantes aprimoradas para Windows (wrar571.exe) e Android (WIFI.apk) que foram geradas entre abril de 2019 e novembro de 2019.

Conexão de uma década com o regime egípcio

Os investigadores descobriram o envolvimento do aparato de segurança estatal do Egito para contratos de venda da FinSpy com a Gamma International UK Ltd há quase uma década, em 2011 .

• Desde sua primeira descoberta, o FinSpy tem sido usado para direcionar defensores de direitos humanos e a sociedade civil em muitos países, incluindo Bahrein (2012), Etiópia (2014) e Turquia (2018).
• Um ator de ameaças apelidado de NilePhish também foi encontrado distribuindo as variantes FinSpy por meio de um falso site de download do Adobe Flash Player em março de 2019 .

Uma triagem prática

Em setembro , Patrick Wardle, pesquisador de segurança da Jamf, publicou uma triagem do malware FinSpy (macOS).

Malware multiplataforma recente

• Em julho, o grupo de hackers norte-coreano Lazarus foi encontrado usando uma nova estrutura de malware chamada MATA , que fornecia flexibilidade para direcionar o Windows, Linux e macOS.
• Em maio, Lazarus também distribuiu uma nova variante do macOS do Dacls RAT . Variantes do Dacls RAT para Windows e Linux já foram descobertas em dezembro de 2019.

Notas finais

O rápido desenvolvimento de malware multiplataforma e cruzado indica o aumento das habilidades e técnicas sofisticadas dos agentes de ameaças. Para evitar essas ameaças, os especialistas sugerem adotar uma abordagem de segurança proativa, que inclui manter todos os sistemas operacionais e aplicativos corrigidos e aproveitar as percepções de inteligência de ameaças, bem como usar soluções padrão de antimalware e firewall.

Fonte: https://cyware.com/news/new-variants-of-cross-platform-finspy-now-target-mac-and-linux-users-94ee951b