Um pedaço previamente desconhecido de malware complexo com capacidades de espionagem foi descoberta recentemente por pesquisadores da empresa de segurança cibernética ESET. O spyware é apelidado de InvisiMole e é considerado uma ferramenta avançada de espionagem cibernética, provavelmente projetada para ataques a alvos nacionais e financeiros.
Visão geral técnica do spyware InvisiMole
Os dois componentes maliciosos do InvisiMole foram exaustivamente analisados pela pesquisadora Zuzana Hromcová. .Pelo visto, os componentes são capazes de transformar o host comprometido em uma câmera de vídeo, permitindo assim que os atacantes capturem o som e a imagem do entorno da vítima. Não convidado, Os operadores da InvisiMole acessam o sistema, monitorando de perto as atividades da vítima e roubando seus segredos, o pesquisador disse no relatório oficial.
De acordo com as descobertas do pesquisador, o spyware está ativo pelo menos desde 2013. Contudo, devido à sua natureza sofisticada, nunca foi detectado em computadores comprometidos que executam produtos ESET na Ucrânia e na Rússia. A taxa de detecção extremamente baixa provavelmente significa que o InvisiMole é altamente direcionado, tendo infectado um punhado de computadores.
O spyware InvisiMole tem uma arquitetura modular. A cadeia de infecção é acionada com um invólucro DLL. Quanto às suas atividades maliciosas - são realizadas com a ajuda de dois módulos embutidos em seus recursos. Ambos os módulos são backdoors ricos em recursos, e sua implantação mútua dá aos invasores acesso a quantas informações eles desejam reunir. Em cima disso, os codificadores do malware tomaram medidas extras para torná-lo lento e sem ser detectado, e permitindo que ele permaneça furtivamente em um sistema por um período de tempo ilimitado.
Infelizmente, os pesquisadores ainda não descobriram como o malware infectou seus alvos. Todos os vetores de infecção são possíveis, incluindo instalação facilitada pelo acesso físico à máquina, Notas ESET.
Mais sobre os componentes do InvisiMole
RC2FM
O primeiro, módulo menor RC2FM contém um backdoor com quinze comandos suportados. Eles são executados no computador afetado quando instruídos pelos invasores. O módulo é projetado para fazer várias mudanças no sistema, mas também oferece vários comandos de espionagem.
Pelo visto, este módulo não é tão complicado quanto o segundo, mas ainda assim possui alguns recursos impressionantes. Um deles é a capacidade de extrair configurações de proxy de navegadores. Em seguida, ele pode usar essas configurações para enviar dados para seu servidor de comando e controle, especialmente se as configurações de rede local proibirem o módulo de se comunicar com seu servidor mestre. além do que, além do mais, este módulo pode ligar o microfone do alvo e gravar áudio, bem como codificar o áudio como MP3 e enviá-lo para o servidor de comando e controle do InvisiMole.
RC2CL
Este é de fato o mais poderoso dos dois componentes de malware. RC2CL é projetado para suportar 84 comandos backdoor. Ele também contém quase todas as funcionalidades típicas de uma ferramenta avançada de spyware. Quais são essas capacidades?
– Executar comandos de shell remotos, manipulação de chaves de registro, execução de arquivos, obter uma lista de aplicativos locais, carregando secadores, coletando informações sobre a rede, desativando o controle de conta de usuário, desligando o firewall do Windows, entre outros.
Além desses recursos, o módulo RC2CL também é capaz de gravar áudio usando o microfone e fazer capturas de tela com a webcam.
O componente, no entanto, tem alguns recursos distintos, como a capacidade de excluir com segurança seus próprios arquivos assim que a coleta de dados terminar. Claro, a auto-exclusão de arquivos é importante para impedir que as ferramentas forenses reconheçam arquivos shadow no disco e descubram o tipo de informação coletada e enviada pelo spyware. Este componente também pode se transformar em um proxy para auxiliar nas comunicações entre o primeiro módulo e o servidor de comando e controle. Este recurso é considerado único, pois não foi detectado em nenhuma outra cepa de spyware.
Em conclusão, O InvisiMole é um spyware sofisticado totalmente equipado com uma variedade de recursos maliciosos .
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: