I ricercatori di ESET hanno identificato InvisiMole, un potente spyware in grado di trasformare il PC infetto in una videocamera, consentendo ai cyber criminali di vedere e ascoltare ciò che accade nell’ufficio della vittima o dovunque si trovi il dispositivo infetto.
InvisiMole ha un’architettura modulare e veicola l’infezione attraverso un wrapper DLL che svolge le sue attività utilizzando altri due moduli incorporati. Entrambi i moduli sono backdoor ricche di funzionalità, che insieme danno la possibilità di raccogliere quante più informazioni possibili sull’obiettivo.
Figura 1 – Il wrapper DLL si presenta come una libreria legittima mpr.dll, sia per nome che per informazioni sulla versione
Il wrapper DDL viene programmato utilizzando il Free Pascal Compiler, collocato nella cartella Windows e mascherato come file di libreria mpr.dll a 32 o 64 bit. I due moduli di accompagnamento, RC2FM e RC2CL, vengono caricati dal wrapper nel processo explorer.exe che aiuta a tenerlo separato e quindi nascosto durante il normale funzionamento.
Il primo modo in cui il malware può essere lanciato è utilizzando questa particolare DLL. Essendo posizionato nella stessa cartella di explorer.exe , il wrapper DLL viene caricato durante l’avvio di Windows nel processo di Esplora risorse invece della libreria legittima che si trova nella cartella % windir% \ system32 .
Questo processo funziona sia per le versioni a 32 bit sia per quelle a 64 bit del malware, il che rende questa tecnica di persistenza funzionale su entrambe le architetture.
In alternativa al dirottamento DLL, sono possibili altri metodi di caricamento e persistenza. Il wrapper DLL esporta una funzione chiamata GetDataLength . Quando viene chiamata questa funzione, la DLL controlla se è stata caricata dal processo rundll32.exe con explorer.exe o svchost.exe come processo padre e solo allora avvia la payload. Ciò suggerisce altri possibili metodi di persistenza: pianificando un’attività (ovvero avendo svchost.exe come processo genitore) o installando una chiave di registro di avvio (explorer.exe è il processo genitore).
Figura 2 – Funzioni esportate del wrapper DLL
Indipendentemente dal metodo di persistenza, il comportamento del malware e della payload è lo stesso in tutti i casi. Il wrapper DLL carica entrambi i moduli memorizzati nelle sue risorse, denominati RC2FM e RC2CL , e (se è stato utilizzato il dirottamento DLL) carica infine la libreria legittima nel processo explorer.exe , per non interrompere il normale funzionamento dell’applicazione e così rimangono nascosti.
Il modulo RC2FM contiene una backdoor e può eseguire 15 comandi che spaziano dal catturare screenshot, attivare il microfono, aprire, chiudere e caricare nuovi file.
Il modulo RC2CL ha capacità molto simili ma è inoltre in grado di raccogliere quanti più dati possibili dalla macchina infetta. È interessante notare che esiste un’opzione nel modulo RC2CL per disattivare la sua funzionalità backdoor e agire come un proxy.
La telemetria di ESET indica che InvisiMole è attivo almeno dal 2013 ma è stato individuato e analizzato solo dopo essere stato rilevato dalle soluzioni di ESET su computer compromessi in Ucraina e Russia.
La campagna che utilizza InvisiMole è altamente mirata e non sorprende dunque che il malware abbia un basso tasso di infezione, con una manciata di computer colpiti.
Il metodo di diffusione di InvisiMole non è ancora stato individuato e i ricercatori di ESET non escludono alcun vettore di infezione, inclusa l’installazione facilitata dall’accesso fisico alla macchina.
Lascia un commento