Conocido como FinFisher o FinSpy, se trata de un spyware que se vendió a gobierno y agencias de seguridad para espiar a los usuarios. Su distribución se descontroló cuando su código apareció en los foros del lado oscuro de Internet. Ahora, expertos en seguridad han detectado que en algunos equipos que estaban infectados por esta amenaza, ha sido sustituida por otra, conocida con el nombre de StrongPity2.
El punto positivo es que las herramientas de seguridad son capaces de detectar la amenaza y neutralizarla sin ningún problema. O al menos aquellas que están correctamente actualizadas.
Expertos en seguridad han analizado durante mucho tiempo FinFisher (o FinSpy), llegando a la conclusión que los ISP estuvieron involucrados en la distribución de esta amenaza entre usuarios particulares y empresas.
Durante el mes de septiembre todavía se detectaron algunas oleadas en las que se distribuían FinFisher. Sin embargo, desde octubre el funcionamiento de estas “oleadas” ha cambiado por completo, comenzando la distribución de StrongPity2.
Escenario de infección
Expertos en seguridad han analizado de nuevo el comportamiento, llegando a la conclusión de que apenas existen variaciones. Cuando el usuario realiza la descarga de un paquete software se realiza la modificación de la petición HTTP, realizando la descarga de contenido adicional.
Esto ha sucedido con los siguientes programas:
- CCleaner v 5.34
- Driver Booster
- The Opera Browser
- Skype
- The VLC Media Player v2.2.6 (32bit)
- WinRAR 5.50
Esto no quiere decir que el instalador del software esté infectado, sino que junto con la descarga de este paquete se adjunta la del spyware que nos ocupa.
Los archivos cuya información es susceptible de verse afectada por el robo son los siguientes:
- ppt
- .pptx
- .xls
- .xlsx
- .txt
- .doc
- .docx
- .rtf
Sistemas operativos afectados
En lo que se refiere a sistemas operativos afectados, obviamente nos tenemos que centrar en los de la compañía de Redmond. Para ser más exactos, pueden verse afectados los equipos que ejecuten un sistema operativo Windows 7 o superior, hasta alcanzar Windows 10, tanto en arquitecturas de 32 como de 64 bits.
Por el momento no existe una versión para equipos con sistema operativo GNU/Linux o macOS. La cuota de mercado manda, y si los saben los ciberdelincuentes también desde gobiernos y agencias de seguridad.
Cómo comprobar si tu equipo está afectado por StrongPity2
Para comprobar si nuestro equipo está afectado, además de la solución software mencionada anteriormente, podemos seguir los siguientes pasos:
- Comprobar si existe la carpeta %temp%\lang_be29c9f3-83we. Esta ubicación la crea el spyware para almacenar todos sus componentes software, incluido el archivo wmpsvn32.exe.
- Verificar si en la dirección del registro HKCU\Software\Microsoft\Windows\CurrentVersion\Run existe una clave con nombre Help Manager con valor %temp%\lang_be29c9f3-83we\wmpsvn32.exe.
Para estar infectado debemos encontrar ambos puntos en nuestro sistema. Nunca encontremos cada uno por separado.
Para llevar a cabo el borrado de la amenaza tan solo necesitaremos realizar el borrado del ejecutable mencionado en el primer punto y eliminar la clave del registro. Tras reiniciar el equipo, este estará libre del spyware.
Fuente:https://www.redeszone.net/2017/12/09/strongpity2-spyware-esta-sustituyendo-finfisher/
Entusiasta de la seguridad cibernética. Especialista en seguridad de la información, actualmente trabajando como especialista en infraestructura de riesgos e investigador.
Experiencia en procesos de riesgo y control, soporte de auditoría de seguridad, diseño y soporte de COB (continuidad del negocio), gestión de grupos de trabajo y estándares de seguridad de la información.
Envía tips de noticias a info@noticiasseguridad.com o www.instagram.com/iicsorg/.
También puedes encontrarnos en Telegram www.t.me/noticiasciberseguridad