Ti presento InvisiMole, il software spia in circolazione dal 2013

Giu 14, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 0

È in grado di compromettere il PC per rubare informazioni, catturare video e audio. E nessuno lo ha rilevato per cinque lunghi anni…

Si tratta molto probabilmente dell’ennesimo software spia “professionale”, messo a disposizione di governi e soggetti vari per operazioni di sorveglianza e spionaggio.

InvisiMole (la talpa invisibile) però detiene un vero record: è riuscito a passare inosservato per la bellezza di 5 anni. A individuarlo sono stati i ricercatori di ESET, che hanno messo fine a una carriera iniziata nel 2013.

A ben vedere, però, il malware potrebbe essere stato creato anche prima del 2013. Questa data, infatti, è l‘unica che gli analisti di ESET sono riusciti a individuare. L’autore di InvisiMole, infatti, si è preoccupato di modificare i timestamp all’interno del codice per non fornire indizi nemmeno in questo senso.

Nelle versioni più recenti di InvisiMole sono stati eliminati i riferimenti alla data in cui è stato scritto il codice.

Come si spiega in un report pubblicato sul sito ufficiale della società di sicurezza, uno dei motivi per cui InvisiMole è riuscito a “volare sotto i radar” per un periodo così lungo è che il suo utilizzo è stato centellinato con attenzione, prendendo di mira solo qualche decina di computer in Russia e Ucraina.

Non solo: tutta la struttura del malware è accuratamente progettata per garantirgli un livello di offuscamento che consente a InvisMole di passare inosservato.

Il componente principale è camuffato in modo da passare per una libreria mpr.dll (Multiple Provider Router) con tanto di versione corretta riportata nelle proprietà.

Le altre funzionalità sono inserite in due moduli (RC2FM e RC2CL) protetti da crittografia, così come lo sono tutti i file di configurazione, le risorse e le comunicazioni inviate verso l’esterno.

I due moduli hanno funzioni diverse. RC2FM è quello più scarno ed è una classica backdoor che mette a disposizione dei cyber-spioni 15 comandi che consentono di modificare le impostazioni del sistema e di rubare alcune informazioni dal computer infetto.

Al suo interno c’è anche una funzione che permette di usare il microfono dl computer per registrare conversazioni ambientali che vengono memorizzate sotto forma di file in formato MP3.

Nulla al confronto di ciò che è capace di fare il modulo RC2CL. Qui chi controlla il malware può fare più o meno quello che gli pare.

Scorrendo gli 84 comandi disponibili all’interno del modulo, ci si rende conto che chi ha creato InvisiMole aveva tutte le intenzioni di mettere a disposizione dei suoi clienti uno strumento in grado di monitorare con la massima efficacia l’attività della vittima.

Le comunicazioni tra il malware e il server Command and Control simulano il protocollo HTTP e utilizzano la protezione crittografica per i dati più sensibili.

Il malware è infatti in grado di analizzare il sistema per individuare quali siano i programmi installati, quali siano quelli più utilizzati e (naturalmente) esfiltrare qualsiasi file presente sul computer.

Le funzioni disponibili consentono anche di aprire la strada all’installazione di ulteriori malware, disabilitando i sistemi di protezione come lo User Account Control di Windows.

Per quanto riguarda le funzioni di spionaggio più “tradizionali”, il modulo consente di catturare screenshot a distanza e attivare la webcam e il microfono per eseguire intercettazioni ambientali.

Ciò che resta da scoprire è chi sia l’autore del malware. Difficile però che si trovi una risposta in tempi brevi. A differenza di altri casi, in cui la prima analisi ha fornito elementi utili per identificare i cyber-spioni (per esempio l’utilizzo di strumenti o porzioni di codice già conosciuti) in questo caso i ricercatori non segnalano nulla del genere.

Condividi l'articolo