InvisiMole es un software espía complejo que puede grabar audio y tomar fotos

Investigadores de seguridad de ESET han descubierto una pieza compleja de spyware que se usó con moderación en los últimos cinco años para infectar y espiar a un número muy pequeño de objetivos en Rusia y Ucrania

Aunque aún no se ha determinado el origen de esta nueva cepa de malware, denominada InvisiMole, se cree que se trata de una herramienta avanzada de ciberespionaje, muy probablemente creada para hacks de estado nación o motivados financieramente.

Esta evaluación se basa en el hecho de que el malware se ha visto muy raramente, ya que se encuentra en "solo unas pocas docenas de computadoras", pero también debido a su amplio espectro de capacidades, algo que habría llevado meses o incluso años en desarrollarse, y ciertamente no es el trabajo de un ciberdelincuente ordinario.

Excepto por el archivo binario del malware, se sabe muy poco sobre quién está detrás de él, cómo se propaga o en qué tipo de campañas se ha utilizado.

"Nuestra telemetría indica que los agentes maliciosos detrás de este malware han estado activos al menos desde 2013, pero la herramienta de ciberespionaje nunca fue analizada ni detectada hasta que los descubrieron los productos de ESET en computadoras comprometidas en Ucrania y Rusia", dijo la investigadora de ESET Zuzana Hromcová. quien recientemente escribió un informe detallado sobre esta nueva amenaza.

"Todos los vectores de infección son posibles, incluida la instalación facilitada por el acceso físico a la máquina", agregó Hromcová.

Típico para el malware usado en ataques altamente dirigidos, el malware ha sido despojado de la mayoría de las pistas que podrían llevar a los investigadores de regreso a su autor. Con la excepción de un archivo (que data del 13 de octubre de 2013), todas las fechas de compilación han sido eliminadas y reemplazadas por ceros, dando pequeñas pistas sobre su línea de tiempo y duración.

Además, el malware es una astuta pieza de codificación en sí misma, ya que está compuesta por dos módulos, ambos con su propio conjunto de características de espionaje, pero que también pueden ayudarse unos a otros en la exploración de datos.

El primero de los módulos principales de InvisiMole se llama RC2FM. Es el más pequeño de los dos y solo admite 15 comandos, combina funciones para alterar el sistema local, pero también busca y roba datos.

Este módulo no es tan avanzado como el segundo, pero la característica más novedosa que posee es la capacidad de extraer configuraciones de proxy de los navegadores y usar esas configuraciones para enviar datos a su servidor de comando y control en caso de que la configuración de red local impida que el módulo a su servidor maestro.

Algunos de los comandos de este módulo le permiten encender el micrófono del usuario, grabar audio, codificarlo como MP3 y enviarlo al servidor InvisiMole C & C.

RC2FM también puede encender la cámara web del usuario y tomar capturas de pantalla. También puede monitorear unidades locales, recuperar información del sistema y realizar modificaciones en la configuración del sistema.

El segundo módulo InvisiMole es el más avanzado de los dos. Éste admite 84 comandos de puerta trasera e incluye casi todas las capacidades que espera de una cepa de spyware avanzada.

Esto incluye soporte para ejecutar comandos de shell remotos, manipulación de claves de registro, ejecución de archivos, obtener una lista de aplicaciones locales, cargar controladores, obtener información de red, deshabilitar UAC, desactivar el firewall de Windows y más. RC2CL también puede grabar audio a través del micrófono y tomar capturas de pantalla a través de la cámara web, como el primer módulo.

Pero Hromcová dice que el módulo también posee algunas características únicas. Una de ellas es la capacidad de eliminar de manera segura sus propios archivos después de que se haya realizado la recopilación de datos. Este paso se toma para evitar que las herramientas forenses detecten los archivos ocultos en el disco y descubran qué es lo que el malware podría haber reunido y enviado a su servidor C & C.

Otra característica única es la capacidad de RC2CL para convertirse en un proxy y facilitar las comunicaciones entre el primer módulo y el servidor C & C del atacante. Esto es algo único, ya que este comportamiento no se ha visto en otras cepas.

Con todo, esta es una herramienta diabólica, una que es claramente una herramienta de ciberespionaje muy poderosa y probablemente una de las mejores.

Semrush sigue a tu competencia


Fecha actualización el 2018-06-08. Fecha publicación el 2018-06-08. Categoria: cisco. Autor: Oscar olg Mapa del sitio Fuente: bleempingcomputer