Die Entwickler von Microsoft haben sich der Spionagesoftare Finfisher oder auch Fin Spy angenommen und zerlegt. Der Trojaner, der von der deutsch-britischen Firma FinFisher GmbH entwickelt und vertrieben wird, wird auf PCs und Smartphones eingesetzt.

Ist der Trojaner aktiv :

• ermöglicht er als FinSpy den Fernzugriff auf betroffene Windows, Mac OS und Linux Systeme
• als FinFireWire ersteltl er ein komplettes Abbild des Arbeitsspeichers und läd ihn herunterladen
• FinFly USB ermöglicht das installieren jeglicher Software durch einstecken eines präparierten USB-Sticks
• FinFly ISP zielt auf Internet Provider ab und infiziert die Systeme mit Überwachungssoftware

Die deutsche Regierung unterstützt den Handel ins Ausland und hat ihn selbst eim Einsatz.

Arbeitsweise Finfisher in 6 Stages

Microsoft FinFisher Stages

Erkennung der Stages im Defender

Microsoft FinFisher Stages Defender

Verteilt wird Finfisher u.a. durch eine harmlos wirkende Datei, wie ein Worddokument.  Ziel von Microsoft ist es Windows und Office Benutzer zu schützen. Dafür haben Enwickler das komplexe System zerlegt und anaylsiert. Als Ergebnis dessen ist die Erkennung in Office 365 ATP Detonation Sandbox, Windows Defender Advanced threat Protection (Windows Defender ATP) in Windows 10 und weiteren Microsoft Produkten eingeflossen.

Quelle und weitere Informationen zu den Stages und den Analysen von Microsoft: https://cloudblogs.microsoft.com/microsoftsecure/2018/03/01/finfisher-exposed-a-researchers-tale-of-defeating-traps-tricks-and-complex-virtual-machines/