Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Giu 14, 2018 Marco Schiaffino Attacchi, In evidenza, Malware, News, RSS 0
Si tratta molto probabilmente dell’ennesimo software spia “professionale”, messo a disposizione di governi e soggetti vari per operazioni di sorveglianza e spionaggio.
InvisiMole (la talpa invisibile) però detiene un vero record: è riuscito a passare inosservato per la bellezza di 5 anni. A individuarlo sono stati i ricercatori di ESET, che hanno messo fine a una carriera iniziata nel 2013.
A ben vedere, però, il malware potrebbe essere stato creato anche prima del 2013. Questa data, infatti, è l‘unica che gli analisti di ESET sono riusciti a individuare. L’autore di InvisiMole, infatti, si è preoccupato di modificare i timestamp all’interno del codice per non fornire indizi nemmeno in questo senso.
Come si spiega in un report pubblicato sul sito ufficiale della società di sicurezza, uno dei motivi per cui InvisiMole è riuscito a “volare sotto i radar” per un periodo così lungo è che il suo utilizzo è stato centellinato con attenzione, prendendo di mira solo qualche decina di computer in Russia e Ucraina.
Non solo: tutta la struttura del malware è accuratamente progettata per garantirgli un livello di offuscamento che consente a InvisMole di passare inosservato.
Il componente principale è camuffato in modo da passare per una libreria mpr.dll (Multiple Provider Router) con tanto di versione corretta riportata nelle proprietà.
Le altre funzionalità sono inserite in due moduli (RC2FM e RC2CL) protetti da crittografia, così come lo sono tutti i file di configurazione, le risorse e le comunicazioni inviate verso l’esterno.
I due moduli hanno funzioni diverse. RC2FM è quello più scarno ed è una classica backdoor che mette a disposizione dei cyber-spioni 15 comandi che consentono di modificare le impostazioni del sistema e di rubare alcune informazioni dal computer infetto.
Al suo interno c’è anche una funzione che permette di usare il microfono dl computer per registrare conversazioni ambientali che vengono memorizzate sotto forma di file in formato MP3.
Nulla al confronto di ciò che è capace di fare il modulo RC2CL. Qui chi controlla il malware può fare più o meno quello che gli pare.
Scorrendo gli 84 comandi disponibili all’interno del modulo, ci si rende conto che chi ha creato InvisiMole aveva tutte le intenzioni di mettere a disposizione dei suoi clienti uno strumento in grado di monitorare con la massima efficacia l’attività della vittima.
Il malware è infatti in grado di analizzare il sistema per individuare quali siano i programmi installati, quali siano quelli più utilizzati e (naturalmente) esfiltrare qualsiasi file presente sul computer.
Le funzioni disponibili consentono anche di aprire la strada all’installazione di ulteriori malware, disabilitando i sistemi di protezione come lo User Account Control di Windows.
Per quanto riguarda le funzioni di spionaggio più “tradizionali”, il modulo consente di catturare screenshot a distanza e attivare la webcam e il microfono per eseguire intercettazioni ambientali.
Ciò che resta da scoprire è chi sia l’autore del malware. Difficile però che si trovi una risposta in tempi brevi. A differenza di altri casi, in cui la prima analisi ha fornito elementi utili per identificare i cyber-spioni (per esempio l’utilizzo di strumenti o porzioni di codice già conosciuti) in questo caso i ricercatori non segnalano nulla del genere.
Mar 14, 2024 0
Mar 01, 2024 0
Feb 22, 2024 0
Feb 15, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...