# FinFisher > Tipo: **malware** · S0182 · [MITRE ATT&CK](https://attack.mitre.org/software/S0182) ## Descrição [[s0182-finfisher|FinFisher]] (também conhecido como FinSpy) é um spyware comercial de vigilância de nível governamental, desenvolvido pela empresa alemã FinFisher GmbH (anteriormente Gamma Group) e supostamente vendido exclusivamente a agências governamentais para uso em investigações criminais direcionadas. No entanto, pesquisadores de direitos humanos documentaram seu uso por governos autoritários para vigilância de jornalistas, ativistas e opositores políticos. Possui variantes para Windows e Android, com a variante Windows rastreada como [[s0176-wingbird|Wingbird]]. O FinFisher emprega técnicas de evasão excepcionalmente avançadas: inserção de código lixo (junk code) para dificultar a análise de fluxo de controle (T1027.016), empacotamento pesado de software (T1027.002), e um bootkit (T1542.003) para garantir persistência em nível de firmware/MBR em versões mais antigas. O spyware é capaz de capturar telas, fazer login de credenciais via API hooking (T1056.004), gravar áudio e vídeo, rastrear localização e interceptar comúnicações criptografadas. O uso do FinFisher por governos contra dissidentes foi documentado pela Citizen Lab em múltiplos países. A empresa FinFisher foi alvo de busca e apreensão pela polícia alemã em 2019 em investigação por exportação ilegal de software de vigilância. O [[g0070-dark-caracal|Dark Caracal]], grupo associado à inteligência libanesa, utilizou o FinFisher em campanhas de espionagem contra alvos no Oriente Médio, América do Norte e América Latina. **Plataformas:** Windows, Android ## Técnicas Utilizadas - [[t1134-001-token-impersonationtheft|T1134.001 - Token Impersonation/Theft]] - [[t1113-screen-capture|T1113 - Screen Capture]] - [[t1547-001-registry-run-keys-startup-folder|T1547.001 - Registry Run Keys / Startup Folder]] - [[t1497-001-system-checks|T1497.001 - System Checks]] - [[t1574-001-dll|T1574.001 - DLL]] - [[t1056-004-credential-api-hooking|T1056.004 - Credential API Hooking]] - [[t1027-002-software-packing|T1027.002 - Software Packing]] - [[t1055-001-dynamic-link-library-injection|T1055.001 - Dynamic-link Library Injection]] - [[t1548-002-bypass-user-account-control|T1548.002 - Bypass User Account Control]] - [[t1070-001-clear-windows-event-logs|T1070.001 - Clear Windows Event Logs]] - [[t1083-file-and-directory-discovery|T1083 - File and Directory Discovery]] - [[t1542-003-bootkit|T1542.003 - Bootkit]] - [[t1012-query-registry|T1012 - Query Registry]] - [[t1543-003-windows-service|T1543.003 - Windows Service]] - [[t1027-016-junk-code-insertion|T1027.016 - Junk Code Insertion]] ## Grupos que Usam - [[g0070-dark-caracal|Dark Caracal]] ## Detecção - Detectar uso de bootkit: verificar integridade do MBR/VBR em sistemas potencialmente comprometidos por spyware governamental (T1542.003) - Monitorar API hooking em processos de credenciais e navegadores: `SetWindowsHookEx`, `NtCreateThreadEx` em contextos suspeitos (T1056.004) - Alertar sobre DLL injection em processos de sistema por processos não-reconhecidos (T1055.001) - Detectar limpeza de logs de eventos do Windows por processos que não são ferramentas de administração reconhecidas (T1070.001) - Verificar presença de DLLs modificadas em System32 - técnica de DLL search order hijacking (T1574.001) usada pelo FinFisher ## Relevância LATAM/Brasil O [[g0070-dark-caracal|Dark Caracal]], operador documentado do FinFisher, conduziu campanhas de espionagem que afetaram alvos em múltiplos continentes, incluindo América Latina. No Brasil, o contexto político e o histórico de uso de spyware comercial por autoridades em investigações controversas tornam o FinFisher particularmente relevante. A Citizen Lab documentou uso de FinFisher por países da América Latina. Organizações da sociedade civil, jornalistas investigativos e defensores de direitos humanos no Brasil devem estar cientes de spyware governamental comercial e implementar higiene digital rigorosa. ## Referências - [MITRE ATT&CK - S0182](https://attack.mitre.org/software/S0182)