InvisiMole es un spyware utilizado en ataques dirigidos que convierte el dispositivo infectado en una cámara de video vigilancia, permitiendo al operador del malware ver y oir las actividades de la víctima.
Un dato curioso es que este malware lleva activo casi 5 años hasta que fue detectado por primera vez por los investigadores de ESET.
Como comentábamos antes los ataques son muy específicos y no hay un gran número de dispositivos afectados.
El malware se compone de dos módulos con múltiples funcionalidades que permiten extraer toda la información posible de las víctimas. Estos módulos se encuentran empaquetados en una DLL que le permite obtener la persistencia “secuestrando” una DLL legítima (DLL Hijacking). Estos dos módulos son cargados al inicio por alguno de los procesos ‘rundll32.exe’, ‘explorer.exe’ o ‘svchost.exe’. Una vez cargados, los procesos continúan su ejecución de forma normal para evitar levantar sospechas.
Los dos módulos ejecutados por el malware: ‘RC2FM’ y ‘RC2CL’ cumplen diferentes propósitos:
RC2FM
Introduce una puerta trasera que implementa hasta 15 comandos para realizar tareas de espionaje o hacer cambios en el sistema. Este módulo se comunica con el servidor de C&C que se encontraba hardcodeado en las muestras analizadas por el equipo de ESET.
Listado de los comandos implementados (ID, descripción)
0 Muestra información sobre los discos, ficheros y directorios y carpetas compartidas.
2 Operaciones de creación, modificación y borrado de ficheros y directorios.
4 Abre un fichero y posiciona el puntero de fichero al inicio.
5 Cierra un fichero abierto anteriormente.
6 Escribe un fichero abierto anteriormente.
7 Cambia la fecha del fichero.
8 Posiciona el puntero de fichero al final.
10 Modifica la fecha del fichero/Elimina el fichero
12 Busca ficheros especificando una máscara de búsqueda.
13 Toma una captura de pantalla.
14 Sube o modifica algún fichero con datos internos.
15 Graba el sonido de los dispositivos de audio disponibles.
16 Comprueba si hay algún fichero abierto.
17 Actualiza la lista de servidores de C&C
19 Crea, modifica o elimina el registro.
RC2CL
Este módulo también introduce otra puerta trasera que permite al operador del malware recopilar toda la información posible sobre la víctima, desde información sobre el sistema hasta listados de procesos activos, servicios en ejecución, drivers disponibles, información sobre la red, etc. No sólo eso, el malware permite deshabilitar el control de acceso a usuarios (UAC) para poder manipular ficheros protegidos sin tener permisos de administrador. Tomar capturas de la webcam o grabaciones desde el micrófono.
Para evitar ser detectado, el malware cifra todos sus strings, ficheros internos, configuraciones y comunicaciones.
Algunos IOCs:
SHA1- 5EE6E0410052029EAFA10D1669AE3AA04B508BF9
SHA1- 2FCC87AB226F4A1CC713B13A12421468C82CD586
SHA1- B6BA65A48FFEB800C29822265190B8EAEA3935B1
SHA1- C8C4B6BCB4B583BA69663EC3AED8E1E01F310F9F
SHA1- A5A20BC333F22FD89C34A532680173CBCD287FF8