Dans un récent billet de blog, la firme de Redmond révèle comment elle est parvenue à cerner FinSpy, le célèbre logiciel espion vendu aux agences gouvernementales et aux services de renseignement par la société britannique Gamma Group. Windows Defender ATP et Office 365 ATP ont été améliorés pour une meilleure détection du spyware.
Le maliciel est, d’avis d’experts, l’un des plus sophistiqués dans sa filière. « Depuis 2010, les logiciels espions FinFisher ont fait l’objet de mesures anti-analyses importantes; c’est probablement la raison pour laquelle les rapports les plus récents sur FinFisher ne donnent pas beaucoup de détails techniques. Dans l’un des rapports, une société de sécurité réputée a même admis qu’en raison d’un fort obscurcissement, il n’a pas été possible de faire l’extraction des serveurs C&C », écrit ESET au sujet du logiciel malveillant. La firme lui consacre d’ailleurs tout un livre blanc intitulé Guide d’ESET pour le désobscurcissement et la dévirtualisation de FinFisher.
Les publications d’ESET et de Microsoft portent certainement sur des versions différentes du maliciel, mais ont un dénominateur commun : l’emploi de techniques destinées à protéger la charge malicieuse principale des regards « indiscrets » des chercheurs en sécurité. L’échantillon sur lequel Microsoft a travaillé semble cependant être d’un niveau de complexité plus important, puisqu’équipé de plus de machines virtuelles que celui d’ESET.
« La société derrière FinFisher a construit une entreprise de plusieurs millions de dollars autour de ce spyware – il n’est donc pas surprenant qu’ils mettent un effort beaucoup plus grand dans la dissimulation et l’obscurcissement que la plupart des cybercriminels communs », soulignent les chercheurs d’ESET.
FinFisher peut être transmis à une cible par voie de courriel ; en 2011, Ahmed Mansoor – un défenseur des droits de l’homme aux Émirats arabes unis – a reçu un exécutable du logiciel malveillant camouflé dans un email. La tentative avait été rapportée par Citizen Lab, une firme de sécurité attachée à l’université de Toronto. Le rapport le plus inquiétant à propos de ce spyware reste certainement celui de l’implication des fournisseurs d’accès Internet dans des campagnes de surveillance de masse. La nouvelle avait filtré sur cette plateforme en septembre 2017. ESET avait fait état de la mise sur pied de mécanismes au niveau des infrastructures des ISP pour rediriger des requêtes de téléchargement d’applications populaires vers des serveurs contenant des versions infectées par le logiciel espion.
Sources : Microsoft
— Utilisez-vous Windows Defender ? Quel commentaire faites-vous de la disponibilité de ces nouvelles protections ?
— Quelle autre solution antispyware recommandez-vous ?