Os especialistas da ESET publicaram um artigo (em inglês) com detalhes técnicos que explica como funcionava o surpreendente spyware InvisiMole, uma ferramenta de cyberespionagem detectada pelos produtos da ESET em computadores localizados na Ucrânia e na Rússia. Confira neste post os principais pontos dessa pesquisa.
Segundo a pesquisa, o InvisiMole é um poderoso malware que possui múltiplas funções. Algumas delas e talvez as mais importantes são: a possibilidade de controlar a webcam e o microfone do computador infectado, permitindo que os atacantes tirem fotos do que está acontecendo no ambiente onde está o computador, bem como realizar gravações sonoras do local. Para piorar, a ameaça realiza capturas de tela de cada uma das janelas abertas, independentemente de que estejam sobrepostas ou não, e monitora todas as unidades rígidas ou removíveis. Dessa forma, quando um pendrive ou disco é inserido, o malware cria uma lista dos nomes de cada um dos arquivos e os armazena em um único arquivo criptografado.
Outro aspecto que nos permite levar em conta a complexidade desse spyware é sua capacidade de permanecer escondido e operar em computadores pertencentes a alvos importantes, por um período mínimo de cinco anos.
Segundo a pesquisa, durante esse período, além de poder realizar capturas de tela e registrar tudo o que acontecia no escritório e/ou ambiente onde estava cada um dos computadores infectados, seus recursos de backdoor permitiam coletar grandes volumes de informações e, quando os cibercriminosos indicavam, o InvisiMole enviava todas as informações coletadas para o atacante.
Seus recursos de backdoor também permitem coletar as seguintes informações: dados do sistema, processos ativos, velocidade da conexão com a Internet, redes sem fio ativadas no computador infectado, bem como informações sobre suas contas e senhas de acesso.
Aqueles que operam o InvisiMole também têm a possibilidade de dar instruções e criar filtros para procurar arquivos específicos ou interessantes, tais como: documentos que foram abertos recentemente. Neste ponto, a ferramenta pode, além de ler esses documentos, fazer alterações nos arquivos. E para evitar levantar qualquer tipo de suspeita, modifica as datas do último acesso ou modificação em cada arquivo modificado.
Como você pode ver, ameaças como o InvisiMole existem na vida real e são usadas contra alvos de ataques que lidam com informações críticas. Suas funcionalidades permitem roubar informações e espionar suas vítimas, e tem a virtude de escapar dos radares de detecção para continuar operando sem que seja percebido durante vários anos.
Caso queira conferir outros detalhes técnicos desse spyware, acesse: InvisiMole: Surprisingly equipped spyware, undercover since 2013.