Inicio de zonavirus, antivirus
SATINFO

InvisiMole: el malware espía que convierte tu ordenador en un sistema vigilado

msc hotline sat
martes, 12 de junio de 2018





InvisiMole es un spyware utilizado en ataques dirigidos que convierte el dispositivo infectado en una cámara de video vigilancia, permitiendo al operador del malware ver y oir las actividades de la víctima.





Un dato curioso es que este malware lleva activo casi 5 años hasta que fue detectado por primera vez por los investigadores de ESET.



Como comentábamos antes los ataques son muy específicos y no hay un gran número de dispositivos afectados.



El malware se compone de dos módulos con múltiples funcionalidades que permiten extraer toda la información posible de las víctimas. Estos módulos se encuentran empaquetados en una DLL que le permite obtener la persistencia "secuestrando" una DLL legítima (DLL Hijacking). Estos dos módulos son cargados al inicio por alguno de los procesos 'rundll32.exe', 'explorer.exe' o 'svchost.exe'. Una vez cargados, los procesos continúan su ejecución de forma normal para evitar levantar sospechas.



Los dos módulos ejecutados por el malware: 'RC2FM' y 'RC2CL' cumplen diferentes propósitos:





RC2FM



Introduce una puerta trasera que implementa hasta 15 comandos para realizar tareas de espionaje o hacer cambios en el sistema. Este módulo se comunica con el servidor de C&C que se encontraba hardcodeado en las muestras analizadas por el equipo de ESET.



Comunicación con el C&C. Fuente: http://www.welivesecurity.com



Listado de los comandos implementados (ID, descripción)



0 Muestra información sobre los discos, ficheros y directorios y carpetas compartidas.

2 Operaciones de creación, modificación y borrado de ficheros y directorios.

4 Abre un fichero y posiciona el puntero de fichero al inicio.

5 Cierra un fichero abierto anteriormente.

6 Escribe un fichero abierto anteriormente.

7 Cambia la fecha del fichero.

8 Posiciona el puntero de fichero al final.

10 Modifica la fecha del fichero/Elimina el fichero

12 Busca ficheros especificando una máscara de búsqueda.

13 Toma una captura de pantalla.

14 Sube o modifica algún fichero con datos internos.

15 Graba el sonido de los dispositivos de audio disponibles.

16 Comprueba si hay algún fichero abierto.

17 Actualiza la lista de servidores de C&C

19 Crea, modifica o elimina el registro.









RC2CL



Este módulo también introduce otra puerta trasera que permite al operador del malware recopilar toda la información posible sobre la víctima, desde información sobre el sistema hasta listados de procesos activos, servicios en ejecución, drivers disponibles, información sobre la red, etc. No sólo eso, el malware permite deshabilitar el control de acceso a usuarios (UAC) para poder manipular ficheros protegidos sin tener permisos de administrador. Tomar capturas de la webcam o grabaciones desde el micrófono.





Para evitar ser detectado, el malware cifra todos sus strings, ficheros internos, configuraciones y comunicaciones.



Algunos IOCs:



SHA1- 5EE6E0410052029EAFA10D1669AE3AA04B508BF9

SHA1- 2FCC87AB226F4A1CC713B13A12421468C82CD586

SHA1- B6BA65A48FFEB800C29822265190B8EAEA3935B1

SHA1- C8C4B6BCB4B583BA69663EC3AED8E1E01F310F9F

SHA1- A5A20BC333F22FD89C34A532680173CBCD287FF8





Ver información original al respecto en Fuente:

https://unaaldia.hispasec.com/2018/06/invisimole-el-malware-espia-que.html

RSS Noticias AntivirusRSS Noticias Articulos AntivirusRSS Articulos RSS Descargas AntivirusRSS Descargas

>> Compartir

comparte con tus amigos, zonavirus.com
Redes Sociales en zonavirus

>> FaceBook

© 1998-2018 - pym:sol Aviso Legal | Política de Privacidad | Política de Cookies | Contacto