FinSpy 间谍软件新变体以 Mac 和 Linux 用户作为目标

FinSpy已经针对埃及的持不同政见者组织开展了新的活动-研究人员发现了针对macOS和Linux用户的间谍软件的新样本。

FinSpy商业间谍软件又回到了最近观察到的针对埃及组织和维权人士的运动中。尽管该间谍软件以前以Windows，iOS和Android用户为目标，但研究人员已使用针对macOS和Linux用户的新变体发现了这些活动。

根据Amnesty International的资料，FinSpy是一款功能完善的监视软件套件，能够拦截受害者的通讯，访问私人数据以及录制音频和视频，并发现了最新的变体。自2011年以来，全世界的执法部门和政府机构一直在使用它。

但是，研究人员最近发现了自2019年10月以来一直在竞选活动中使用的前所未有的FinSpy示例。这些示例包括macOS的FinSpy变体“ Jabuka.app”和Linux的FinSpy变体“ PDF”。两者都是星期五首次公开披露。

Amnesty’s的研究人员在周五的一份分析报告中说，“通过对这个最新变种的额外技术调查，大赦国际的安全实验室还发现了用于Windows、Android的FinSpy的新样本，以及之前未披露的Linux和MacOS电脑版本，这些新样本被一个不明身份的行为者在网上曝光。”

FinSpy的过去

FinSpy自2011年就开始运营，但是近年来，研究人员发现了利用间谍软件采取更多创新方法的活动。

2019年3月，Amnesty International发布了一份报告，分析了针对埃及人权捍卫者以及媒体和公民社会组织工作人员的网络钓鱼攻击。这些攻击由一个名为“ NilePhish”的组织进行，通过一个伪造的Adobe Flash Player下载网站分发了适用于Microsoft Windows的FinSpy示例。

卡巴斯基研究人员在2019年6月表示，他们在该公司的遥测中看到了间谍软件的新实例，包括上个月在缅甸记录的活动。根据卡巴斯基的说法，在过去的一年中，数十种独特的移动设备已经使用经过改进的植入物进行了感染。这些较新的示例针对Android和iOS设备。

新样品

本周发布的最新袭击事件继续针对埃及民间社会组织。研究人员表示，针对macOS的FinSpy示例“使用了相当复杂的链来感染系统，开发人员已采取措施使其分析复杂化。”

该示例的独特之处在于，其所有二进制文件均由研究团队于2013年开发的开源LLVM-obfuscator进行了混淆。但是，据Jamf的安全研究员Patrick Wardle称，这种混淆很容易被绕开。

“好消息，这种混淆并没有真正阻碍分析，”他在周末的详细分析中说。“人们可以简单地在反汇编器中滚动，也可以在调试器中在相关（未混淆）代码上设置断点。”

FinSpy MacOS安装过程。图片来源：Amnesty International

一旦下载，间谍软件的第一阶段将进行检查以检测其是否正在虚拟机（VM）中运行。否则，它会解密一个ZIP存档，其中包含安装程序和二进制文件以进行特权升级（包括一个利用macOS X中的错误的漏洞和另一个利用CVE-2015-5889的Python漏洞的漏洞，该漏洞存在于Apple OS X的remote_cmds组件中）10.11之前。

Amnesty International的研究人员说：“第一阶段利用漏洞利用程序来获取root用户访问权限。” “如果它们都不起作用，它将要求用户授予root权限来启动下一阶段的安装程序。”

同时，Linux有效负载与macOS版本非常相似，研究人员认为macOS版本暗示了潜在的共享代码库。但是，启动器和感染链适用于Linux系统，从服务器获取的“ PDF”文件是一个简短的脚本，其中包含适用于32位和64位Linux的编码二进制文件。

下载完成后，文件将解压缩并执行安装程序，安装程序将在提取第一阶段有效负载之前检查系统是否不在虚拟机上。像其macOS版本一样，Linux的FinSpy也使用LLVM-Obfuscator进行了模糊处理。

适用于macOS和Linux的恶意软件变体包括大量具有按键记录，计划和屏幕记录功能的模块。他们还具有通过在Apple Main和Thunderbird上安装恶意附件（将这些电子邮件发送给FinSpy进行收集）来窃取电子邮件的功能，以及收集有关Wi-Fi网络信息的功能。

研究人员说：“用于Mac OS的FinSpy，以及类似的Linux同类产品，都采用模块化设计。” “登录的启动器仅实例化核心组件dataPkg，该组件负责监视与命令和控制服务器（C＆C）的通信，并在需要时解密/启动模块。”