Ses concepteurs ont usé de contrefaçon du navigateur Firefox pour propager leurs charges malicieuses il y a quelques années. Une publication d’ESET parue hier révèle que les fournisseurs d’accès Internet seraient impliqués dans le processus de déploiement de ces applications vérolées, d’après ce qui semble être le rapport d’investigations menées dans deux pays atteints (non cités pour des raisons de sécurité) par de nouvelles variantes.
Le processus d’infection commence avec une tentative de téléchargement d’une application populaire sur un site Web légitime. Après un clic sur le lien de téléchargement, le navigateur est redirigé vers un serveur qui lui sert une version vérolée de l’application recherchée. Il faudra se méfier des applications comme WhatsApp, Skype, Avast,Winrar et VLC puisque mentionnées dans la publication.
Toutes choses qui, en principe, devraient donner froid dans le dos quand on se souvient qu’il s’agit de logiciels dont la popularité ne souffre d’aucune contestation et, via lesquels un outil de surveillance pourrait s'installer sur un ordinateur. Pour rappel, cette gamme de produits FinFisher permet à un attaquant d’espionner via une webcam ou un microphone ou de procéder à l’exfiltration des données d’un ordinateur à l’insu de son possesseur.
Les fournisseurs d’accès Internet dans le viseur d’ESET… d’accord, mais pourquoi ?
- Il faut d’abord mentionner que la gamme de produits FinFisher compte également FinFly ISP dans ses rangs. Il s’agit d’une solution à installer sur les infrastructures d’un fournisseur d’accès à Internet. D’après la fiche de présentation de ce produit, il suffit que le système ait connaissance des identifiants d’accès au réseau du FAI pour être en capacité de déployer une charge malicieuse qui génèrent des redirections de trafic similaires à celles mentionnées dans le rapport.
- Les chercheurs de la firme ESET relèvent par la suite que la redirection http 307 est implémentée de la même façon dans les deux pays affectés, un facteur qui se couple bien au 3e souligné par la firme et selon lequel toutes les cibles au sein d’un même pays ont le même fournisseur d’accès à Internet.
Attention, ajouter Threema à sa liste d’applications à surveiller
Les utilisateurs en quête de chiffrement de bout en bout utilisent WhatsApp ou des alternatives comme Threema. C’est probablement la raison pour laquelle des applications comme celle-ci se retrouvent mentionnées dans cette étude puisqu’en téléchargeant une version vérolée, la victime fait d’une pierre deux coups. Elle établit une communication chiffrée avec ses correspondants, mais en arrière-plan, l’espion de Gamma Group fait le boulot.
Source : ESET, fiche de présentation FinFly ISP (PDF)
Et vous ?
Quel est votre avis sur le sujet ?
Voir aussi :
Microsoft corrige une vulnérabilité zero-day dans Office qui a été utilisée pour déployer le spyware FinSpy