A Kaspersky voltou a reunir os especialistas de cibersegurança em mais uma edição do Security Analyst Summit (SAS), uma iniciativa da multinacional russa que a businessIT costuma acompanhar e que, este ano, volta a ser exclusivamente virtual. Nos dois dias do evento foram debatidas as mudanças no panorama da segurança em tecnologias de informação e partilhados conhecimentos sobre ameaças recentes e sofisticadas.
Um dos grandes ‘protagonistas’ do evento foi o FinSpy, também conhecido por FinFisher or Wingbird, uma versão «quase impossível de analisar» do malware que apresenta um bootkit e recursos para «roubar tudo», garantiram os especialistas presentes no evento. E, aqui, o ‘tudo’ parece englobar não só credenciais, mas também documentos, mensagens de e-mail e mesmo a capacidade de capturar áudio.
Software de vigilância
O FinSpy é basicamente um software multiplataforma para Windows, macOS e Linux que é comercializado como uma ferramenta de videovigilância. No entanto, muito parecido com o Pegasus do Grupo NSO, é frequentemente usado para propósitos particularmente maliciosos. Descoberto pela primeira vez em 2011, este spyware tem a capacidade para roubar informações e credenciais, bem como manter o controlo sobre as actividades do utilizador. No evento, falou-se na capacidade deste malware em reunir listas de ficheiros e mesmo ficheiros excluídos, assim como vários documentos. Tem ainda a capacidade para transmitir ao vivo ou gravar dados via webcam e microfone, consegue ler chats de mensagens e usar o modo do programador em navegadores para interceptar o tráfego protegido com protocolos HTTPS.
Em meados de 2019, vários instaladores para aplicações legítimas, como por exemplo o TeamViewer, o VLC Media Player e o WinRAR, eram suspeitos de conter código malicioso. No entanto, segundo a Kaspersky, não parecia estarem ligados a um malware, pelo menos conhecido. Mais tarde, os pesquisadores encontraram um site birmanês que hospedava tanto os instaladores com trojan quanto amostras do FinSpy para Android. «Começamos a detectar alguns instaladores suspeitos de aplicações legítimas, protegidas por um downloader relativamente pequeno e pouco conhecido», explicaram no evento Igor Kuznetsov e Georgy Kucherin, pesquisadores da Kaspersky presentes nesta edição do Security Analyst Summit. «No decorrer de nossa investigação, descobrimos que os instaladores nada mais eram do que implantes de ‘primeiro estágio’ usados para descarregar e instalar ‘payloads’ adicionais antes do verdadeiro cavalo de Tróia FinSpy».
Na luta pelo cibercrime
O Security Analyst Summit SAS é um evento anual que reúne investigadores reconhecidos no domínio da cibersegurança, além de autoridades policiais globais, academias e agências governamentais. A conferência nasceu com «o objectivo de melhorar a colaboração na luta contra o cibercrime, tornando-se assim o local ideal para o debate, partilha de informação e apresentação de investigações recentes», explica a empresa de cibersegurança.
Durante a conferência, forma ainda discutidos tópicos prementes que têm sido alvo de preocupação ao longo de 2021, como os ataques a cadeias de abastecimento, spyware comercial e outros. Para além de apresentarem investigações sobre vulnerabilidades e ameaças, como caso do FinSpy, os membros do painel organizaram também vários workshops e formações para ajudar os ‘caçadores de ameaças’ a tornarem-se melhores profissionais de cibersegurança. Além dos oradores da Kaspersky, o programa contou com especialistas da PwC, Mandiant, Nex, Grupo IB, Sourcegraph, NTT Security (Japão) KK e Yandex.
