Шпионский софт FinFisher теперь использует UEFI-буткит в атаках на Windows

Екатерина Быстрова 29 Сентября 2021 - 08:51

Общее

Windows

Лаборатория Касперского

Руткиты

Шпионские программы

Программы слежения

...

Шпионский софт FinFisher теперь использует UEFI-буткит в атаках на Windows

Шпионская программа FinFisher, за распространением которой стоит Gamma Group, обзавелась новыми функциональными возможностями. Теперь вредонос использует UEFI-буткит, который внедряется в загрузчик Windows Boot Manager.

FinFisher также известна под именами FinSpy и Wingbird. Зловред разрабатывается в коммерческих целях и является, по сути, шпионским софтом с вредоносными функциями.

Разработчики FinFisher не скрывают, что продают своё детище исключительно государственным учреждениям и правоохранительным органам по всему миру. Тем не менее специалисты в области кибербезопасности также фиксировали кампании целевого фишинга, в которых фигурировал FinFisher.

На новые возможности шпиона обратили внимание эксперты «Лаборатории Касперского». В своём отчёте исследователи пишут:

«В ходе анализа мы выявили UEFI-буткит, загружающий FinSpy. На всех заражённых машинах установщик Windows Boot Manager (bootmgfw.efi) был подменён вредоносной копией».

«Такой подход позволяет злоумышленникам установить буткит без необходимости обходить поверку безопасности прошивки. Заражения UEFI встречаются довольно редко, поскольку их трудно реализовать».

С новой функциональностью FinFisher фактически стал самым подвинутым шпионским софтом, который сложнее всего детектировать. Специалисты отмечают огромную работу, подделанную авторами вредоноса.

Следующая главная новость »

Подписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Татьяна Никитина 04 Июля 2025 - 12:48

Windows Уязвимости программ Домашние пользователи Microsoft

Срочно обновляем Microsoft Edge — уязвимость в Chromium уже на мушке

Разработчики Microsoft выпустили внеплановое обновление для браузера Edge на основе Chromium. Сборка 138.0.3351.65 содержит патчи для двух опасных уязвимостей; одну из них злоумышленники уже используют в атаках.

Обе проблемы классифицируются как «путаница типов данных» и при эксплуатации позволяют удаленно выполнить любой код в целевой системе.

Уязвимость CVE-2025-6554 обнаружил в JavaScript-движке V8 эксперт Google. Эксплойт осуществляется с помощью специально созданного сайта; в случае успеха автор атаки получает доступ на чтение/запись к произвольным ячейкам памяти.

В связке с другими уязвимостями это может привести к выходу за пределы песочницы, краже данных или выполнению вредоносного кода. Уровень угрозы в Google оценили в 8,1 балла по CVSS (как высокий); патч для Chrome вышел несколько дней назад.

Уязвимость CVE-2025-49713 (8,8 балла CVSS) актуальна лишь для Microsoft Edge. Злоумышленник сможет удаленно выполнить свой код, если ему удастся заставить пользователя открыть вредоносное вложение либо совершить переход по ссылке, присланной по имейл или в мессенджере.

Успешный эксплойт позволяет внедрить в систему зловреда, украсть учетные данные, а также развить атаку в корпоративной сети.