提供永久免费的API接口，查看更多API接口，如果您有其他免费API资源，请联系我们，造福人类。

定制开发，免费评估，免费咨询，价格便宜，售后保障，前往开发服务中心或联系开发客服中心

邪恶的FinSpy间谍软件现已升级，可在UEFI引导包中部署。

FinSpy，也称为FinFisher/Wingbird，是自2011年以来在野外检测到的监视软件。2011年检测到该软件基于Windows桌面的植入物，一年后发现了移动植入物。

2019年，Kaspersy研究人员在缅甸发现了新的、升级的Android和iOS样本，以及持续感染的迹象。印度尼西亚政府也与间谍软件的使用有关。

在周二举行的卡巴斯基安全分析师峰会（SAS）上，研究人员伊戈尔·库兹涅佐夫（Igor Kuznetsov）和乔治·库切林（Georgy Kucherin）表示，Windows FinSpy植入物的检测率在过去三年中稳步下降。然而，该软件现在已经升级为新的PC感染载体。

根据卡巴斯基的说法，该恶意软件已经从单纯通过特洛伊木马安装程序（通常与合法应用程序捆绑在一起）进行部署，包括TeamViewer、VLC和WinRAR。2014年，其开发人员添加了主引导记录（MBR）引导套件，旨在确保恶意代码尽早加载到受感染的机器上。

研究人员说，现在，统一可扩展固件接口（UEFI）引导套件也被添加到FinSpy的武库中。

然而，恶意软件将，检查是否存在虚拟机（VM），如果发现，则仅交付外壳代码，可能是为了避免反向工程尝试。

UEFI系统对于计算机系统至关重要，因为它们参与加载操作系统。FinSpy不是唯一一个针对该机器元素的恶意软件，LoJax和MosaicRegressionor也是主要的例子。

Kucherin确实说过，FinSpy引导包“不是我们通常看到的平均值”安装FinSpy所需的只是管理员权限。

一个加载FinSpy的UEFI引导工具包示例为团队提供了有关其功能的线索。Windows引导管理器（bootmgfw.efi）被替换为恶意变体，加载后，还会触发两个加密文件，一个Winlogon注入器和特洛伊木马的主加载程序。

FinSpy的有效负载被加密，用户登录后，加载程序被注入Winlogon.exe，导致木马解密和提取。

如果目标计算机太旧，无法支持UEFI，这并不意味着它不会受到感染。相反，FinSpy将通过MBR以系统为目标。恶意软件可能攻击32位计算机

该间谍软件能够捕获和过滤受感染PC上的各种数据，包括本地存储的媒体、操作系统信息、浏览器和虚拟专用网络（VPN）凭据、Microsoft产品密钥、搜索历史记录、Wi-Fi密码、SSL密钥、Skype录音等。

在手机上，FinSpy将以联系人列表为目标，SMS消息、内存中的文件、电子邮件内容和GPS位置坐标。此外，该恶意软件可以监控IP语音（VoIP）通信，并能够通过Facebook Messenger、Signal、Skype、WhatsApp和微信等应用程序交换内容。

macOS版本的FinSpy只包含一个安装程序，Linux版本也是如此。然而，在后一种情况下，用于运送FinSpy的感染媒介目前尚不清楚，尽管怀疑可能需要物理访问。

对FinSpy的最新调查耗时八个月。根据库兹涅佐夫的说法，运营商很可能“一直在升级基础设施”，这将是一个“永无止境的故事”

先前和相关报道在缅甸发现的FinFisher移动间谍软件的新版本如何从手机中查找和删除NSO Group的Pegasus间谍软件，该软件用于打击记者、全球政治活动家

有什么提示吗？通过WhatsApp |信号+447713 025 499或在Keybase上安全联系：charlie0

黄牛党机器人现在瞄准图形卡供应商

如何从手机中查找和删除间谍软件

FBI逮捕了75岁涉嫌在手机外放置管道炸弹的人，carrier stores

新的高级黑客组织瞄准了世界各地的政府和工程师

2023-03-22 10:04:44