ESETは9月21日(米国時間)、「FinFisher campaigns using infamous spyware FinSpy, is in the wind」において、多数のスパイ機能を有する監視ソフトウェア「FinFisher」の亜種の感染が広がっていると伝えた。発見されたFinFisherの亜種はこれまでの実装よりも回避テクニックが巧みであり、複雑な構造になっているほか、さまざまな方法で感染を広げていると指摘されている。特に正規のアプリケーションをダウンロードしたつもりがFinFisherに感染したアプリをダウンロードしていたといったことも観測されており注意が必要。
FinFisherはもともと、これまでによく使われていた複数の感染方法を使って拡散している。今回、ESETはこうした拡散方法の中に、ISPレベルでの中間者攻撃によって広がった痕跡を発見したと指摘。ISPレベルで中間者攻撃が実施されているということは文書としての指摘はあったものの、実際に観測され。セキュリティファームから発表が行われたのはかなり珍しいケースと言える。
説明によると、WhatsApp、Skype、Avast、WinRAR、VLC Playerなど人気の高いアプリケーション/アプリのダウンロードが行われると、中間者攻撃によって細工されたリンクへリダイレクト。結果、ユーザーは細工されたアプリケーション/アプリをダウンロードしてインストールを行ってしまうという仕組みになっている。
こうした攻撃が行われた場合、ユーザーはインストールしたアプリケーション/アプリがマルウェアに感染した偽物であると判断することはきわめて難しい。また、ISPレベルでこうした攻撃が実施されると、ユーザとしての対策はかなり難しい。ESETはこの攻撃は2つの国のみで観測されたと報告しているが、今後同様の手口が広がる可能性もあり注意が必要。