如何确保你所下载的软件真的是官方版本?近期,网络安全研究人员发现部分热门应用如微信、Skype和VLCPlayer等多个软件在特定运营商网络下存在安全隐患。
据悉,这些软件官方下载渠道受到恶意软件FinFisher的影响,而FinFisher是由英国知名间谍软件公司Gamma制作的非常隐秘的监控工具。该工具一旦感染到设备上,就能对用户进行实时监控、记录键盘输入等恶意行为。
FinFisher攻击手段多样,钓鱼、物理接触手动安装、day利用、水坑攻击等无所不用其极。然而,最近安全厂商ESET的一项研究报告显示,FinFisher变种已经找到了更高效的攻击手段——运营商劫持式攻击。
研究表明,有人使用FinFisher变种进行新的监视活动,这些活动隐蔽在正常应用软件之中。攻击者使用中间人攻击(MitM)黑进了目标机器,而网络运营商(ISP)最可能作为“中间人”为FinFisher提供了劫持便利。
为何认为是运营商搞鬼呢?原因有以下四点:首先,维基解密过去发布的文件显示,FinFisher有一个配套的“FinFlyISP”软件,用于部署在运营商网络里,执行此类中间人攻击;其次,ESET发现新版本FinFisher在两个国家使用相同的感染手段——HTTP7重定向;第三,一个国家的所有受害者都是用相同的运营商网络;最后,至少有一个受影响国家的运营商已经使用了相同的重定向手法进行过内容过滤。
在了解攻击过程和原理后,我们可以得知:当目标用户在正常网站上搜素被盯上的应用软件并点击下载时,他们的浏览器会收到一个修改过的URL,将他们重定向到攻击者服务器托管的木马安装包。这意味着用户所安装的并非正规软件,而是被修改的恶意软件。
值得注意的是, FinFisher除了新的攻击手段外,还增强了隐蔽性。它使用自定义虚拟化技术来保护大部分组件,如内核驱动;同时采用反调试、反沙盒、反虚拟机等技巧,抵御逆向分析。
此外,FinFisher试图伪装成安全通信软件Threema。官方版的Threema提供端到端加密的防护,而山寨伪装版则意图盗取用户隐私,颇具讽刺意味。
对此,Gamma公司目前尚未对ESET的报告作出回应。然而,作为安全用户,我们应该保持警惕,审慎下载网络上的软件。在未知来源或信誉度不高的网站上,切勿轻信、随意安装来路不明的应用。在使用过程中,注意查看软件的版本信息、发布时间等细节,确保其真实性。
总之,面对日益严峻的网络安全隐患,我们要提高安全意识,学会辨别正规软件,避免误入陷阱。只有这样,才能保护个人隐私和数据安全,让我们的生活和工作更加安心。