¿Y si tu proveedor de acceso a Internet fuese un aliado para los ciberdelincuentes? Desde ESET han detectado una nueva campaña que tiene como protagonista FinFisher (conocido también como FinSpy), del que ya hemos tenido la oportunidad de hablar anteriormente largo y tendido. Los ciberdelincuentes se están centrando sobre todo en afectar a proveedores de Internet, acumulando hasta este momento un total de 7 países.

Para ser más precisos, se han detectado dos variantes de la amenaza que hemos mencionado anteriormente. Win32/FinSpy.AA y Win32/FinSpy.AB han sido detectadas por un equipo de expertos en seguridad de la compañía ESET.

Indican que en el caso de sus productos se lleva a cabo el bloqueo de la amenaza de forma correcta cuando intenta realizar su instalación en el equipo. Esto quiere decir que la mayoría de softwares de seguridad serán capaz de llevar a cabo su detección y posterior eliminación sin ningún problema. Conviene recordar que la amenaza FinFisher no es nueva y que se encuentra en Internet desde hace bastante tiempo. Sin embargo, no es una costumbre nueva el reaprovechamiento de amenazas distribuidas con anterioridad y que tuvieron éxito a la hora de afectar a usuarios.

Desde ESET indican que en dos de las dos campañas que estudiadas, el spyware se ha distribuido utilizando un ataque MitM (Man-in-the-Middle), utilizando a los proveedores de Internet como intermediarios, obviamente sin que ellos quieran desempeñar este papel. En el resto de países la forma de ataque utilizada ha sido la tradicional. O lo que es lo mismo, correo electrónico con el archivo adjunto malware o bien  redirigir al usuario a páginas web que contienen el instalador de la amenaza.

Peligrosidad de FinFisher

Para todo aquel que no conozca la historia de esta amenaza, indicar que sobre el papel (o al menos de cara a los usuarios) se trata de un software de asesoramiento legal. Sin embargo, su verdadera funcionalidad dista mucho de lo mencionado anteriormente. Se ha ofrecido e instalado en equipos pertenecientes a instituciones de varios países, de ahí que se considere como una herramienta de espionaje político, aunque en la actualidad se distribuya a los usuarios particulares.

El spyware se puede utilizar en cualquier momento para recopilar información existente en el equipo infectado, pudiendo utilizar las cámaras web y micrófonos instalados en los equipos.

Pero para el equipo de expertos en seguridad de ESET, el punto clave es la distribución, pudiéndola considerar como la principal novedad.

MitM y redirección al usuario a otra web

Los expertos indican que el funcionamiento de esta nueva vía de difusión resulta muy sencillo de comprender. Se parte de que un usuario trata de acceder a una determinada web para descargar un software. Es entonces cuando entra en funcionamiento la técnica de los ciberdelincuentes. Se ofrece al usuario otra dirección alternativa que no servirá para descargar el software deseado, sino el spyware que nos ocupa en este artículo.

Expertos indican que sobre todo se han utilizado los software WhatsApp, VLC, WinRAR o Skype como cebo.

Indican que utilizar los proveedores de acceso a Internet como medio para alcanzar el equipo de los usuarios no posee ningún tipo de precedente, o al menos a nivel europeo.