En el día de ayer publicamos un extenso artículo con los detalles técnicos que dejó una reciente investigación realizada por especialistas de ESET donde se explica cómo operaba el sorprendente spyware InvisiMole; una herramienta de ciberespionaje que fue detectado por los productos de ESET en computadoras ubicadas en Ucrania y Rusia. En este artículo, te contamos lo más importante que se desprende de la investigación.
De acuerdo a la investigación, InvisiMole es un poderoso malware que cuenta con múltiples funciones. Algunas de ellas y quizás las más importantes son: la posibilidad de tener control de la webcam y el micrófono de la computadora infectada, permitiendo así a los atacantes tomar fotografías de lo que ocurre en el ambiente donde está la computadora, así como también grabar el sonido ambiente. Por si fuera poco, realiza capturas de pantalla de cada una de las ventanas abiertas, sin importar que estén solapadas, y monitorea todos las unidades rígidas o removibles. De esta manera, cuando un pendrive o disco es insertado, el malware crea una lista de los nombres de cada uno de los archivos y los guarda en un único archivo cifrado.
Otro aspecto que nos permite tomar dimensión de la complejidad de este spyware es su capacidad para mantenerse oculto y operando en computadoras pertenecientes a blancos de gran importancia, durante un mínimo de cinco años.
Durante este tiempo, además de poder hacer capturas de pantalla y registrar todo lo que sucedía en la oficina y/o ambiente donde estaba cada una de las computadoras infectadas, sus funcionalidades de backdoor le permitían recopilar grandes volúmenes de información y cuando los cibercriminales lo indican, InvisiMole envía toda la información recolectada al atacante.
Sus funcionalidades de backdoor le permiten también recopilar la siguiente información: datos del sistema, procesos activos, velocidad de conexión a Internet, redes inalámbricas habilitadas en la computadora infectada, además de información sobre sus cuentas y claves de acceso.
Quienes operan InvisiMole también tienen la posibilidad de dar instrucciones y crear filtros para que busque archivos específicos o interesantes, como por ejemplo: documentos que hayan sido abiertos recientemente. En este punto, la herramienta puede, además de leer estos documentos, realizar modificaciones en los mismos. Y para evitar levantar cualquier tipo de sospecha, modifica las fechas del último acceso o modificación en cada archivo que haya intervenido.
Como se puede apreciar, amenazas como InvisiMole existen en la vida real y se utilizan contra blancos de ataque que manejan información crítica. Sus funcionalidades le permiten robar información y espiar a sus víctimas, y ha tenido la virtud de evadir los radares de detección y mantenerse operando de manera oculta durante varios años.
Quienes estén interesados en conocer los detalles técnicos de este spyware, pueden acceder al post de InvisiMole: sorprendente spyware que se mantuvo encubierto desde 2013.