לטענת ESET, הורדות לגיטימיות של תוכנות פופולריות כגון WhatsApp, Skype ו-VLC מופנות, בעזרת ספקי האינטרנט (ISPs), לאתר הכולל גרסה נגועה ברוגלה

בדו”ח חדש של חברת האבטחה ESET נטען כי תרמית מתוחכמת משתמשת בהורדות לגיטימיות של תוכנות פופולריות כגון: WhatsApp, Skype, VLC ו-WinRar כדי להפנות משתמשים לאתרים שבהם קיימת גרסה של התכנה הכוללת רוגלה בשם FinFisher Spyware, הידועה בקיצור בשם FinSpy. הייחוד בתרמית זו נעוץ בשתי עובדות: FinSpy היא כלי רב עוצמה, שהחברה הגרמנית שעומדת מאחוריו משווקת אותו בעיקר למשטרים וסוכנויות ממשלה, ולטענת ESET, בתרמית הזו קיים מרכיב שלא דווח מעולם בעבר: מעורבות של ספקי אינטרנט העושים יד אחת עם ההאקרים.

חוקרי ESET: “התקפת ה’אדם בתווך’ מבוצעת ברמה גבוהה- ככל הנראה ספק אינטרנט”

ל-FinSpy יש יכולות ריגול חזקות מאוד, כולל מעקב חי באמצעות מצלמות רשת ומיקרופונים, הקלטת מקשים ו-exfiltration של קבצים. לדברי ESET, בשבע מדינות, שחברת האבטחה נמנעה מלנקוב בשמן כדי “לא לסכן אף אחד”, בוצעה מתקפה שבמסגרתה, כאשר המשתמשים נכנסים לאתר לשם התקנת גרסה חוקית של תוכנות כמו WhatsApp ו-VLC, “הם מופנים לשרת של התוקפים; שם ניתנת להם חבילת התקנה הנגועה ב-FinFisher”.

חוקרי ESET הסבירו כי למרות ש”טכנית, ייתכן שה’אדם’ בהתקפות ‘אדם בתווך’ (Man in the Middle) אלו יימצא במיקומים שונים לאורך הדרך ממחשב המשתמש אל השרת הלגיטימי (למשל, נקודות Wi-Fi שהשתלטו עליהן), התפוצה הגיאוגרפית של הווריאנטים של FinFisher שהתגלו במחקר שלנו מעידה ככל הנראה כי התקפת ה’אדם בתווך’ מבוצעת ברמה גבוהה, והאפשרות הסבירה ביותר היא ספק אינטרנט”.