En el mundo del software espía que una amenaza pase desapercibida durante cinco años es todo un logro, además de algo que permite a los atacantes sustraer información confidencial de sus víctimas durante un largo periodo de tiempo. Obviamente, no estamos hablando de un malware cualquiera que busca infectar a un número elevado de usuarios, ya que esto incrementaría las posibilidades de ser detectado.
Descubriendo Invisimole y sus capacidades
Invisimole, analizado recientemente con todo detalle por nuestra compañera analista de malware Zuzana Hromcová en la sede central de ESET en Eslovaquia, es un caso interesante, tanto por su estructura modular como por su capacidad de no haber sido detectado durante tanto tiempo. Esto ha sido posible, principalmente, porque la campaña de propagación de este malware ha sido muy dirigida, habiéndose encontrado muestras solamente en una docena de ordenadores en Ucrania y Rusia.
La telemetría de ESET ha permitido detectar que los desarrolladores de este malware han estado activos al menos desde 2013, sin haber sido detectados hasta el momento debido, sobre todo, a su escasa propagación y a las medidas adicionales implementadas por los desarrolladores para evitar atraer la atención de los usuarios infectados. Por el momento se desconoce el vector de ataque utilizado, por lo que no se descarta ninguna posibilidad, incluyendo la instalación mediante el acceso físico al sistema.
Este software espía transforma el sistema infectado en una completa cámara de vigilancia, permitiendo a los atacantes ver y oír lo que está pasando en la oficina de la víctima o donde esté ubicado el dispositivo. Además, los atacantes tienen acceso completo al sistema, pudiendo monitorizar todas las actividades de la víctima y robar sus secretos.
Además, tal y como suele ser común en ataques dirigidos avanzados, a este malware se le ha quitado toda la información que podría darnos pistas sobre sus autores. Tan solo un fichero ha podido ser datado en octubre de 2013, ya que los metadatos del resto de archivos han sido borrados y reemplazados con ceros.
Invisimole se compone de dos módulos principales con muchas características propias de puertas traseras o backdoors, y su compendio es propio de herramientas de espionaje, que proporcionan la habilidad para recopilar tanta información de la víctima como sea posible.
Módulo RC2FM
El primero de estos módulos, conocido como RC2FM, es también el más pequeño de los dos y solo soporta que el atacante utilice 15 comandos en el sistema de la víctima, principalmente para realizar cambios en el sistema infectado y buscar y robar datos. A pesar de no ser tan avanzado como el otro módulo principal, posee la capacidad de comunicarse con su centro de mando y control (C&C) incluso si existe un proxy configurado en la máquina infectada.
En el caso de que no sea posible realizar una conexión directa con el servidor C&C, el módulo intentará conectarse usando cualquiera de los proxies configurados de forma local o proxies configurados en varios navegadores como Firefox, Opera o Pale Moon. Además, también puede buscar esta configuración en las versiones portátiles de navegadores si detecta que estos se han ejecutado recientemente.
Si el atacante lo solicita, este módulo es capaz de activar remotamente el micrófono y la cámara del sistema comprometido y escuchar así el sonido ambiente (incluyendo conversaciones confidenciales). Estas grabaciones de audio se comprimen en formato MP3 utilizando una librería legítima. El atacante también puede obtener capturas de pantalla y revisar todas las unidades físicas y extraíbles conectadas al sistema, creando un listado de todos los ficheros y cifrándolo en un archivo cada vez que se introduce una nueva unidad.
Toda esta información puede ser enviada a los atacantes cuando ellos la soliciten con el comando pertinente.
Módulo RC2CL
Este módulo también dispone de funcionalidades de puerta trasera y unas amplias capacidades de espionaje. Es más complejo que el otro módulo principal y dispone de características para recopilar tanta información del sistema afectado como sea posible. También es capaz de desactivar su funcionalidad como puerta trasera y actuar como proxy, facilitando la comunicación entre el primer módulo y el C&C.
El número de comandos disponibles para los atacantes se amplía en este caso hasta los 84, permitiendo prácticamente cualquier posibilidad de espionaje de forma remota. Entre las funcionalidades se incluye la posibilidad de lanzar comandos remotos de Shell, la manipulación de claves del registro, deshabilitar o saltarse el UAC de Windows para trabajar con ficheros en ubicaciones seguras del sistema sin disponer de permisos de administrador, desactivar el cortafuegos de Windows, controlar el micrófono y cámara web y tomar capturas de pantalla.
Este módulo dispone de características únicas muy interesantes, como la que permite autoeliminarse del sistema una vez haya finalizado el proceso de recopilación de información. Esto dificulta sobremanera el análisis forense de las máquinas que han sido infectadas por este spyware, pues impide acceder a los ficheros que componen el malware y conocer la información enviada al centro de mando y control.
Todas estas características convierten a este módulo y a Invisimole en su conjunto en una herramienta de espionaje muy potente, que nos hace sospechar que detrás de su desarrollo podría estar una nación o agencia gubernamental.
Conclusión
Estamos ante un spyware altamente sofisticado y muy dirigido a objetivos concretos que ha conseguido pasar inadvertido durante mucho tiempo, a la altura de las herramientas más avanzadas conocidas hasta la fecha. Sin embargo, queda mucho trabajo por hacer, ya que todavía debemos descubrir qué información perseguían los atacantes y porque pusieron tanto esmero en diseñar un malware tan sofisticado.
Aun así, quedan dudas por resolver, como por ejemplo por qué se decidió utilizar dos módulos principales con funcionalidades solapadas en lugar de uno solo. Ambos módulos se lanzan de forma simultánea, lo que descarta la hipótesis de que el menos avanzado funcione como avanzadilla para reconocer el terreno. Es posible que estos módulos hayan sido desarrollados por autores diferentes y luego juntados en la versión final del spyware para ofrecer a los atacantes un catálogo mayor de funcionalidades.
Lo que parece claro es que a los desarrolladores de Invisimole no les debe de haber hecho mucha gracia que se haya descubierto su spyware, teniendo en cuenta los esfuerzos realizados en borrar su rastro en los sistemas infectados y el bajo número de sistemas concretos afectados. Veremos si, tras un análisis en mayor profundidad, se consigue averiguar cuáles eran los objetivos concretos de los atacantes y se arroja alguna pista sobre quién podría estar detrás.