Una pieza previamente desconocido de malware complejo con capacidades de espionaje fue descubierto recientemente por los investigadores de la firma de seguridad cibernética ESET. El software espía es apodado InvisiMole y es considerado como una avanzada herramienta de espionaje cibernético más probable es diseñado para atacar objetivos nación-estado y financieros.
Descripción técnica general de InvisiMole Spyware
Los dos componentes maliciosos de InvisiMole se analizaron a fondo por el investigador Zuzana Hromcová. .Al parecer,, los componentes son capaces de convertir el host comprometido en una cámara de vídeo, lo que permite que los atacantes para capturar la imagen del sonido y de los alrededores de la víctima. No invitado, operadores de acceso al sistema InvisiMole, seguir de cerca las actividades de la víctima y el robo de secretos de la víctima, el investigador dijo en el informe oficial.
De acuerdo con los resultados del investigador, el software espía ha estado activo por lo menos desde 2013. Sin embargo, debido a su naturaleza sofisticada, nunca se detectó en las computadoras comprometidas que ejecutan productos ESET en Ucrania y Rusia. La tasa de detección extremadamente baja más probable significa que InvisiMole está altamente orientada, haber infectado un puñado de computadoras.
El software espía InvisiMole tiene una arquitectura modular. La cadena de infección se desencadena con una DLL envoltura. En cuanto a sus actividades maliciosas - que se llevan a cabo con la ayuda de dos módulos embebidos en sus recursos. Tanto de los módulos son puertas traseras con múltiples funciones, y su despliegue mutua da a los atacantes el acceso a toda la información que desean reunir. Además de eso, los codificadores del malware han tomado medidas adicionales para hacer que se ejecute bajo y sin ser detectados, y permitiendo que residen sigilosamente en un sistema para el período de tiempo ilimitado.
Desafortunadamente, los investigadores aún están por descubrir cómo el malware infecta sus objetivos. Todos los vectores de infección son posibles, incluyendo la instalación facilitado por el acceso físico a la máquina, notas de ESET.
Más acerca de los componentes de InvisiMole
RC2FM
El primero, RC2FM más pequeño módulo contiene una puerta trasera con quince comandos soportados. Estos se ejecutan en el ordenador afectado, cuando así se lo indica a los atacantes. El módulo está diseñado para hacer varios cambios en el sistema sino que también ofrece un montón de comandos de espionaje.
Al parecer,, este módulo no es tan complicado como el segundo, pero sin embargo todavía tiene algunas características impresionantes. Uno de ellos es la capacidad de extraer la configuración del proxy de los navegadores. A continuación, puede utilizar estas configuraciones para enviar datos a su servidor de comando y control, especialmente si la configuración de red locales prohíben el módulo para comunicarse con su servidor maestro. Adicionalmente, este módulo puede activar el micrófono del objetivo y grabar audio, así como codificar el audio como MP3 y enviarlo al servidor de comando y control de InvisiMole.
RC2CL
Este es sin duda el más potente de los dos componentes de malware. RC2CL está diseñado para soportar 84 comandos de puerta trasera. También contiene casi todas las funcionalidades típicas de una herramienta de software espía avanzada. ¿Cuáles son esas capacidades?
– Ejecución de comandos shell remotos, manipulación de claves de registro, ejecución de archivos, obtener una lista de aplicaciones locales, secadoras de carga, la recopilación de información acerca de la red, deshabilitar el Control de cuentas de usuario, desactivando el firewall de Windows, entre otros.
Además de estas capacidades, el módulo RC2CL también es capaz de grabar audio usando el micrófono y realizar capturas de pantalla con la cámara web.
El componente sin embargo tiene algunas características distintivas, tales como la capacidad de seguro-eliminar sus propios archivos de una vez ha terminado la recolección de datos. Por supuesto, la auto-borrado de archivos es importante para herramientas forenses contador de reconocer archivos de sombra en el disco y descubrir el tipo de información recolectada y enviada por el software espía. Este componente también puede convertirse en un proxy para ayudar a las comunicaciones entre el primer módulo y el servidor de comando y control. Esta característica se considera única, ya que no se ha detectado en cualquier otra cepa software espía.
En conclusión, InvisiMole es una pieza totalmente equipada de software espía sofisticado con una gama de capacidades maliciosos .