欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

最少有2个国家的运营商参与了FinFisher间谍木马软件的传播行动

来源:本站整理 作者:佚名 时间:2017-09-28 TAG: 我要投稿


ESET 的网安研究人员在对FInFIsher (FInSpy)间谍软件的流传环境停止阐发以后,发觉至少有两个国度的互联网办事供给商(ISP)介入了该恶意病毒木马软件的流传运动。
互联网办事供给商可以或许会节制用户的流量,用户下载某些软件的链接也可以或许会重定向到 FInFIsher 。今朝,受影响的软件包含WhatsApp,Skype,Avast,WinRAR,VLC Player等产品。
ISP 在这些国度停止的网络干涉,说明成“掩护用户网络网安”真的很牵强。
ISP 可以或许介入了 FInSpy 的恶意病毒木马流传
这类第三方干涉用户 web 流量并掉包内容的入侵攻击称为中间人入侵攻击(MitM)。
依据研究人员得出的论断,这些 ISP 正在停止中间人入侵攻击,由于近期检测到的 FInFisher 间谍软件的流传环境,在地理分布上表现的异常普遍,并且用户也不太可以或许是经由过程本地网络(wifi 热门)受到中间人入侵攻击。
可以或许同时转变这么多的利用程序下载链接,并且地理分布上又这么普遍,独一的可以或许性便是 ISP 也介入了中间人入侵攻击。维基解密泄漏的文件还表现,FinFisher 背后的公司还供给了可以或许间接装置在 ISP上面的装置包。
该装置包中发觉了 HTTP 协定中的 307 Temporary Redirect 状况码,这与研究人员发觉 ISP 掉包下载链接使用的是雷同的技巧。
HTTP 307在维基百科上的说明:
307 Temporary Redirect 是HTTP协定中的一个状况码(Status Code)。可以或许懂得为一个暂时的重定向。
但该相应代码与302重定向有所区其余处所在于,收到307相应码后,客户端应坚持哀求办法稳定向新的地点收回哀求。
其余,两个国度中受影响的用户都是来源于雷同的互联网内容供给商,是互联网内容供给者自己存在内鬼,还是与 FInFisher 入侵攻击者存在互助,如今还不清楚。
除此以外,还发觉了其他的 FinFisher 流传变乱
FInFisher 是一款强大的监控软件,其背后的 Gamma Group 公司专门为法律、政府机构供给监控技巧支持。FInFisher 领有监控软件的大部分功效,好比会话记载,截屏,视频录制,盗取文件等。
除帮忙法律部分停止查询拜访以外,另有证据注解,FInFisher 被卖给专制政体,用来毒害那些持分歧政见的人士,记者和批评者。
FInFisher 的流传办法和恶意病毒木马软件相似,好比经由过程:0day入侵攻击,垂纶邮件欺骗,引诱下载,手动装置等。
ESET 表现这是他们第一次发觉 FInFisher 在 ISP 上停止流传,并且除这两个国度以外,另有其余5个国度也存在相似的恶意病毒木马软件流传办法。
本月初,FireEye 还颁布了一个 Office CVE-2017-8759 破绽漏洞bug,该破绽漏洞bug可以或许用来流传 FinFisher ,并且在其时是一个 0day破绽漏洞bug,针对的是俄语用户。

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载