Onderzoekers van beveiligingsbedrijf Kaspersky hebben een kwetsbaarheid in Flash ontdekt waarmee een hackersgroep de staatsmalware FinFisher verspreidde. Adobe heeft inmiddels een patch voor het lek uitgebracht.
Volgens Kaspersky werd FinFisher verspreid door middel van rtf-documenten. Door van de Flash-kwetsbaarheid met kenmerk CVE-2017-11292 gebruik te maken, haalden de bestanden de malware op systemen van doelwitten binnen. Het beveiligingsbedrijf schrijft de acties toe aan de hackersgroep BlackOasis, oftewel Neodymium. Deze zou inmiddels slachtoffers hebben gemaakt in onder meer Nederland, Rusland en het VK, naast verschillende landen in het Midden-Oosten en Afrika. De groep zou bijvoorbeeld geïnteresseerd zijn in de politiek in het Midden-Oosten, medewerkers van de Verenigde Naties en activisten.
Het gebruik van FinFisher was tot nu toe voornamelijk beperkt tot staten, meldt Kaspersky. De nieuwe bevindingen zouden erop duiden dat de malware ook door andere groepen wordt gebruikt en breder wordt ingezet. Bij de aangetroffen malware ging het om de meest recente variant, die maatregelen neemt om analyse te bemoeilijken. De exacte payload was niet meer op de betreffende command and control-server aanwezig, al troffen de onderzoekers verschillende FinFisher-varianten aan. BlackOasis zou de aanvallen met de malware zeer gericht en sporadisch uitvoeren.
Onlangs publiceerde ESET een analyse waarin het beweerde dat FinFisher werd verspreid door isp's in twee verschillende landen, zonder te vermelden welke landen. De kwaadaardige software wordt ontwikkeld door Gamma International, dat vestigingen in Duitsland en het VK heeft en onder het bedrijf Lench IT Solutions valt. De malware, ook wel bekend als FinSpy, is onder meer in staat om webcambeelden en toetsaanslagen vast te leggen, en bestanden van geïnfecteerde systemen te stelen.