I ricercatori di sicurezza presso Kaspersky svelano l’esistenza in rete di un malware noto con il nome FinFisher, il quale è in grado di colpire il Windows Boot Manager mediante un bootkit UEFI.

FinFisher: Attenti al malware che non può essere rimosso

Sviluppato da Gamma Group per scopi governativi o legati alle forze dell’ordine, viene ora sfruttato anche in altri contesti. FinFisher può raccogliere credenziali, directory, file cancellati e documenti vari come registrazioni, livestreaming, accedendo a webcam e microfoni.

Mediante un bootkit UEFI si innietta nel PC delle vittime con Boot Manager di Windows (bootmgfw.efi), sostituendolo con uno maligno. I malintenzionati possono aggirare i controlli di sicurezza del firmware, rendendo difficile eradicare la minaccia, la quale si inserisce nella memoria flash SPI saldata sulla piastra madre.

Non è possibile cancellarla nè sostituendo la memoria ne reinstallando il sistema operativo, il codice è invisibile alle soluzioni di sicurezza perchè si carica durante la fase di avvio del sistema operativo. Attualmente FinFisher è lo spyware più difficile da rilevare e di conseguenza eliminare, l’unico modo è cambiare la scheda madre.

Non è ancora chiaro in che modo il trojan infetta il PC della vittima, Kaspersky si limita a ad avvisare gli utenti di prestare attenzione, non è rilevabile da un software di sicurezza e una volta insediatosi nel Boot si carica ad ogni avvio del sistema operativo.