InvisiMole es un spyware utilizado en
ataques dirigidos que convierte el dispositivo infectado en una cámara de video
vigilancia, permitiendo al operador del malware ver y oir las actividades de la
víctima.
Un dato curioso es que este malware
lleva activo casi 5 años hasta que fue detectado por primera vez por los
investigadores de ESET.
Detalle
del malware
El malware se compone de dos módulos
con múltiples funcionalidades que permiten extraer toda la información posible
de las víctimas. Estos módulos se encuentran empaquetados en una DLL que le
permite obtener la persistencia "secuestrando" una DLL legítima (DLL
Hijacking). Estos dos módulos son cargados al inicio por alguno de los procesos
'rundll32.exe', 'explorer.exe' o 'svchost.exe'. Una vez cargados, los procesos
continúan su ejecución de forma normal para evitar levantar sospechas.
Los dos módulos ejecutados por el
malware: 'RC2FM' y 'RC2CL' cumplen diferentes propósitos:
RC2FM
Introduce una puerta trasera que
implementa hasta 15 comandos para realizar tareas de espionaje o hacer cambios
en el sistema. Este módulo se comunica con el servidor de C&C que se
encontraba hardcodeado en las muestras analizadas por el equipo de ESET.
Comunicación con el C&C. Fuente:
www.welivesecurity.com
Listado de los comandos implementados
(ID, descripción)
0
Muestra información sobre los discos, ficheros y directorios y carpetas
compartidas.
2
Operaciones de creación, modificación y borrado de ficheros y
directorios.
4
Abre un fichero y posiciona el puntero de fichero al inicio.
5
Cierra un fichero abierto anteriormente.
6
Escribe un fichero abierto anteriormente.
7
Cambia la fecha del fichero.
8
Posiciona el puntero de fichero al final.
10
Modifica la fecha del fichero/Elimina el fichero
12
Busca ficheros especificando una máscara de búsqueda.
13
Toma una captura de pantalla.
14
Sube o modifica algún fichero con datos internos.
15
Graba el sonido de los dispositivos de audio disponibles.
16
Comprueba si hay algún fichero abierto.
17
Actualiza la lista de servidores de C&C
19
Crea, modifica o elimina el registro.
RC2CL
Este módulo también introduce otra
puerta trasera que permite al operador del malware recopilar toda la
información posible sobre la víctima, desde información sobre el sistema hasta
listados de procesos activos, servicios en ejecución, drivers disponibles,
información sobre la red, etc. No sólo eso, el malware permite deshabilitar el
control de acceso a usuarios (UAC) para poder manipular ficheros protegidos sin
tener permisos de administrador. Tomar capturas de la webcam o grabaciones
desde el micrófono.
Para evitar ser detectado, el malware
cifra todos sus strings, ficheros internos, configuraciones y comunicaciones.
Algunos IOCs:
·
SHA1-
5EE6E0410052029EAFA10D1669AE3AA04B508BF9
·
SHA1-
2FCC87AB226F4A1CC713B13A12421468C82CD586
·
SHA1-
B6BA65A48FFEB800C29822265190B8EAEA3935B1
·
SHA1-
C8C4B6BCB4B583BA69663EC3AED8E1E01F310F9F
·
SHA1-
A5A20BC333F22FD89C34A532680173CBCD287FF8
Más
información:
·
InvisiMole:
surprisingly equipped spyware, undercover since 2013 https://www.welivesecurity.com/2018/06/07/invisimole-equipped-spyware-undercover/
Fuente: Hispasec.com