Onderzoekers hebben een exemplaar van de FinFisher-spyware ontdekt die via een UEFI-bootkit op computers wordt geïnstalleerd. FinFisher is door Gamma International ontwikkelde spyware die overheden en opsporingsdiensten al zeker sinds 2011 voor surveillancedoeleinden inzetten. Het kan wachtwoorden verzamelen, heeft toegang tot microfoon en camera en kan bestanden stelen. Er bestaan FinFisher-versies voor Linux, macOS en Windows.

FinFisher wordt onder andere via getrojaniseerde software verspreid. Zo zijn er versies van WinRAR, VLC media player en TeamViewer ontdekt die van de spyware waren voorzien en via malafide websites werden aangeboden. Daarnaast wordt FinFisher ook via UEFI- en Master Boot Record (MBR)-bootkits geïnstalleerd. Het gebruik van MBR-bootkits door FinFisher was al bekend, maar de spyware kan systemen ook via UEFI-bootkits infecteren, meldt antivirusbedrijf Kaspersky in een nieuwe analyse.

De Unified Extensible Firmware Interface (UEFI) zorgt voor de communicatie tussen het besturingssysteem en de hardware. Het is essentieel voor de werking van de computer en tevens de eerste belangrijke software die wordt geladen. Wanneer malware de firmware weet aan te passen kan dit grote gevolgen voor de veiligheid van het systeem hebben.

De UEFI-bootkit vervangt de Widows Boot Manager door een malafide versie die onder andere de FinFisher-spyware vanaf een aparte partitie laadt en uitvoert. "Deze infectiemethode zorgt ervoor dat de aanvallers een bootkit kunnen installeren zonder de beveiligingscontroles van de firmware te hoeven omzeilen. UEFI-infecties zijn zeer zeldzaam en over het algemeen lastig uit te voeren", aldus Kaspersky. Om geen sporen achter te laten kan FinFisher de originele MBR en de EFI Windows Boot Manager herstellen.