InvisiMole: el malware espía que convierte tu ordenador en un sistema de vigilancia
Como comentábamos antes los ataques son muy específicos y no hay un gran número de dispositivos afectados.
El malware se compone de dos módulos con múltiples funcionalidades que permiten extraer toda la información posible de las víctimas. Estos módulos se encuentran empaquetados en una DLL que le permite obtener la persistencia «secuestrando» una DLL legítima (DLL Hijacking). Estos dos módulos son cargados al inicio por alguno de los procesos ‘rundll32.exe‘, ‘explorer.exe‘ o ‘svchost.exe‘. Una vez cargados, los procesos continúan su ejecución de forma normal para evitar levantar sospechas.
Los dos módulos ejecutados por el malware: ‘RC2FM‘ y ‘RC2CL‘ cumplen diferentes propósitos:
RC2FM
Introduce una puerta trasera que implementa hasta 15 comandos para realizar tareas de espionaje o hacer cambios en el sistema. Este módulo se comunica con el servidor de C&C que se encontraba hardcodeado en las muestras analizadas por el equipo de ESET.
Comunicación con el C&C. Fuente: www.welivesecurity.com |
Listado de los comandos implementados (ID, descripción)
- 0 Muestra información sobre los discos, ficheros y directorios y carpetas compartidas.
- 2 Operaciones de creación, modificación y borrado de ficheros y directorios.
- 4 Abre un fichero y posiciona el puntero de fichero al inicio.
- 5 Cierra un fichero abierto anteriormente.
- 6 Escribe un fichero abierto anteriormente.
- 7 Cambia la fecha del fichero.
- 8 Posiciona el puntero de fichero al final.
- 10 Modifica la fecha del fichero/Elimina el fichero
- 12 Busca ficheros especificando una máscara de búsqueda.
- 13 Toma una captura de pantalla.
- 14 Sube o modifica algún fichero con datos internos.
- 15 Graba el sonido de los dispositivos de audio disponibles.
- 16 Comprueba si hay algún fichero abierto.
- 17 Actualiza la lista de servidores de C&C
- 19 Crea, modifica o elimina el registro.
RC2CL
Este módulo también introduce otra puerta trasera que permite al operador del malware recopilar toda la información posible sobre la víctima, desde información sobre el sistema hasta listados de procesos activos, servicios en ejecución, drivers disponibles, información sobre la red, etc. No sólo eso, el malware permite deshabilitar el control de acceso a usuarios (UAC) para poder manipular ficheros protegidos sin tener permisos de administrador. Tomar capturas de la webcam o grabaciones desde el micrófono.
Para evitar ser detectado, el malware cifra todos sus strings, ficheros internos, configuraciones y comunicaciones.
https://www.welivesecurity.com/2018/06/07/invisimole-equipped-spyware-undercover/
InvisiMole — Indicators of Compromise
https://github.com/eset/malware-ioc/tree/master/invisimole
Powered by WPeMatico