A ESET publicou um artigo técnico onde detalha o InvisiMole, um malware que não só pode controlar a webcam e o microfone de um computador, como também fazer “printscreen” – “fotografar” o que é visível no ecrã.
O método passa por tornar o computador alvo numa câmara de vídeo, permitindo aos interessados ver e ouvir o que se passa com a vítima, quer esta esteja em casa, no escritório ou noutro sítio qualquer. De acordo com a ESET, este malware está ativo desde 2013; porém, a ferramenta de ciberespionagem nunca foi analisada ou detetada até ser descoberta por produtos da ESET em computadores que haviam sido atacados na Ucrânia e na Rússia.
O InvisiMole tem uma arquitetura modular, isto é, começa por ser um DLL “wrapper” (uma extensão de aplicação que fornece uma camada de compatibilidade a outro software), e realiza os seus objetivos com outros dois módulos embebidos nos seus recursos. A ESET observou que o DLL é colocado na pasta Windows, fazendo-se passar por um ficheiro legítimo, chamado mpr.dll, fxsst.dll ou winmm.dll.
Ao ser colocado na pasta Windows, o DLL “wrapper” é carregado diretamente no processo do Windows Explorer durante o arranque do Windows, em vez de na pasta que seria esperado, a System32. Para passar ainda mais despercebido, o malware protege-se de administradores e analista ao encriptar os seus ficheiros internos, dados de configuração e comunicação em rede. Um dos módulos do malware, chamado RC2FM, pode inclusive pesquisar as listas de aplicações usadas mais recentemente, e procura em particular por executáveis de browsers portáteis – Firefox, Opera, etc. Caso a vítima execute um destes browser com um servidor proxy configurado, o malware pode encontrar essa informação nas preferências do utilizador e usar esse proxy para comunicar com os seus próprios servidores.
Através do RC2FM, o supyware pode – a pedido – ativar remotamente o microfone do computador alvo e registar sons. Os ficheiros áudio resultantes são codificados para o formato MP3 através de uma biblioteca lame.dll. Outra funcionalidade passar por fazer “printscreen” – “fotografar” o que é visível no ecrã, além de monitorizar todas as unidades fixas ou amovíveis no sistema local. Quando uma novo unidade é ligada ao computador, o malware cria uma lista de todos os ficheiros na unidade e armazena-a num ficheiro encriptado. Um elemento interessante sobre o InvisiMole é que não se limita a registar o que está visível em toda o ecrã – pode também registar cada janela aberta, mesmo quando estas estão sobrepostas.
O outro módulo, chamado RC2CL, suporta comandos tais como operações de sistema de ficheiros, executar ficheiros, manipulação das chaves de registo ou ativação remota da “shell”; de acordo com a ESET, este módulo suporta 84 comandos diferentes, todos potencialmente nefastos – desde listar processos ativos, informação de rede (incluíndo tabelas IP) e nomes de utilizador, a obter o SSID e o endereço MAC de pontos visíveis de Wi-Fi, neste último caso sendo possível depois comparar estes dados com bases de dados públicas, permitindo aos interessados obter a localização geográfica da vítima.
A ESET encontrou versões de 32 e 64-bits do InvisiMole e deixa claro que, apesar de recorrer a poucas técnicas para passar despercebido, este malware foi capaz de passar despercebido pelo menos durante cinco anos. Também foi disponibilizada no artigo uma lista de indicadores de risco, para que possa procurar por indícios do InvisiMole no seu computador.
