Syware InvisiMole se mantuvo encubierto desde 2013

Syware InvisiMole se mantuvo encubierto desde 2013

un spyware muy completo cuyas capacidades le permiten competir con otras herramientas de espionaje activas. Una reciente investigación de ESET descubrió que el spyware fue utilizado durante al menos cinco años contra blancos de ataque de gran importancia

InvisiMole es un spyware muy completo cuyas capacidades le permiten competir con otras herramientas de espionaje activas. El modus operandi de los dos componentes maliciosos de InvisiMole convierten la computadora afectada en una cámara de video permitiendo a los atacantes ver y escuchar lo que sucede en el interior de la oficina de la víctima o del lugar en el que se encuentre el dispositvo infectado. De esta manera, los operadores de InvisiMole acceden al sistema, monitorean sus actividades y roban su información.

Telemetría reportada por ESET indica que los actores detrás de este malware han estado activos por lo menos desde 2013, aunque la herramienta de ciberespionaje nunca había sido analizada hasta que fue detectada por los productos de ESET en computadoras comprometidas en Ucrania y Rusia.

La campaña estuvo dirigida a blancos de ataque específicos, por lo que no es extraño que el ratio de infección haya sido muy bajo, con solo unas doce computadoras afectadas.

InvisiMole presenta una arquitectura modular, comenzando su travesía con una DLL para comprometer el sistema, con características de wrapper, y desarrolla sus actividades utilizando dos módulos adicionales que están embebidos dentro de sus recursos. Ambos módulos están enriquecidos con funcionalidades de backdoor, lo cual les permite recopilar cuanta información sea posible del blanco de ataque.

Para permitir al malware residir dentro del sistema por un largo período de tiempo, los autores tomaron medidas adicionales para evitar captar la atención del usuario comprometido. La forma en que fue propagado el spyware es algo que lo determinarán investigaciones futuras. Aunque todos los vectores de infección son posibles, incluso que hayan sido instalados mediante el acceso físico a la computadora.