Un morceau jusque-là inconnue des logiciels malveillants complexes avec des capacités d'espionnage a été récemment découvert par des chercheurs au sein du cabinet d'ESET Cybersecurity. Le logiciel espion est surnommé InvisiMole et est considéré comme un outil d'espionnage cybernétique de pointe le plus probable conçu pour des attaques contre des cibles d'Etat-nation et financières.
Présentation technique des logiciels espions InvisiMole
Les deux composants malveillants de InvisiMole ont été soigneusement analysés par le chercheur Zuzana Hromcová. .Apparemment, les composants sont capables de transformer l'hôte compromis dans une caméra vidéo, permettant ainsi à des attaquants de capturer le son et l'image des environs de la victime. Sans invitation, Les opérateurs de InvisiMole accéder au système, suivi de près les activités de la victime et voler les secrets de la victime, le chercheur dit dans le rapport officiel.
Selon les conclusions du chercheur, le logiciel espion est actif depuis au moins 2013. Cependant, en raison de sa nature sophistiquée, il n'a jamais été détecté sur des ordinateurs exécutant des produits ESET compromis en Ukraine et en Russie. Le très faible taux de détection le plus probable signifie que InvisiMole est hautement ciblé, ayant infecté une poignée d'ordinateurs.
Le spyware InvisiMole a une architecture modulaire. La chaîne d'infection est déclenchée par une DLL wrapper. Quant à ses activités malveillantes - elles sont réalisées avec l'aide de deux modules intégrés dans ses ressources. Les deux modules sont backdoors riches en fonctionnalités, et leur déploiement mutuel donne attaquants accès à l'information autant qu'ils souhaitent recueillir. En plus de cela, les codeurs du malware ont pris des mesures supplémentaires pour faire fonctionner bas et non détecté, et lui permettant de résider sur un système sournoisement pour la période illimitée.
Malheureusement, les chercheurs sont encore à découvrir comment le logiciel malveillant a infecté ses cibles. Tous les vecteurs d'infection sont possibles, y compris l'installation facilitée par un accès physique à la machine, notes ESET.
En savoir plus sur les composants de InvisiMole
RC2FM
La première, RC2FM plus petit module contient une porte dérobée à quinze commandes prises en charge. Ceux-ci sont exécutées sur l'ordinateur affecté lorsque sur l'ordre du attaquants. Le module est conçu pour apporter diverses modifications au système, mais il offre aussi un tas de commandes d'espionnage.
Apparemment, ce module est pas aussi compliqué que le second, mais néanmoins il a encore quelques caractéristiques impressionnantes. L'un d'eux est la capacité d'extraire les paramètres de proxy de navigateurs. Ensuite, il peut utiliser ces configurations pour envoyer des données à sa commande et de contrôle du serveur, surtout si les paramètres du réseau local interdisent le module pour communiquer avec son serveur maître. En outre, ce module peut activer le microphone et l'enregistrement audio de la cible, ainsi que l'audio encode MP3 et l'envoyer à commande InvisiMole et le serveur de contrôle.
RC2CL
Ceci est en effet le plus puissant des deux composants logiciels malveillants. RC2CL est conçu pour soutenir 84 commandes de porte dérobée. Il contient également presque toutes les fonctionnalités typiques d'un outil logiciel espion avancé. Quelles sont les capacités?
– L'exécution des commandes de shell à distance, manipulation des clés de registre, exécution des fichiers, l'obtention d'une liste d'applications locales, sécheurs de chargement, la collecte d'informations sur le réseau, désactiver le contrôle de compte d'utilisateur, éteindre le pare-feu de Windows, parmi d'autres.
En plus de ces capacités, le module RC2CL est également capable d'enregistrer audio en utilisant le microphone et la capture d'écran avec la webcam.
Le composant a cependant quelques traits distinctifs tels que la capacité de sécurité-supprimer ses propres fichiers une fois la collecte des données est terminée. Bien sûr, l'auto-suppression des fichiers est important d'outils médico-légaux contre de reconnaître les fichiers d'ombre sur le disque et découvrir le type d'informations collectées et envoyées par le logiciel espion. Ce composant peut également se transformer en une procuration pour faciliter les communications entre le premier module et la commande et le serveur de contrôle. Cette fonction est considérée comme unique car il n'a pas été détectée dans une autre souche spyware.
En conclusion, InvisiMole est une pièce entièrement équipée de logiciels espions sophistiqués avec une gamme de fonctionnalités malveillantes .