Jena (pts014/08.06.2018/10:00) – Selbst die erfahrenen Security-Forscher von ESET erleben immer mal wieder eine Überraschung. Sie haben eine neuartige Spyware mit ungewöhnlichen Funktionen entdeckt. Der InvisiMole genannte Schädling verwandelt infizierte Computer in ein komplexes Überwachungssystem. So ist die Spyware in der Lage, Bewegungsdaten der Nutzer via WiFi-Tracking zu ermitteln und zugleich den Rechner in eine Video- und Audio-Wanze zu verwandeln. Dadurch sehen und hören Angreifer, was rund um den Nutzer gerade geschieht und können alles unbemerkt mitschneiden. Zudem registriert InvisiMole Veränderungen an Datenträgern, Dateien und Dokumenten, um ausschließlich die aktuellen Daten zu stehlen.
„Die Cyberkriminellen hinter dem Spionageprogramm haben es primär auf High-Potential-Ziele abgesehen, wie beispielsweise Forschungseinrichtungen oder Großunternehmen. Zudem vermeiden sie eine groß angelegte Verbreitung, weshalb die komplexe Spyware gut fünf Jahre unentdeckt blieb. Nur wenige Dutzend Computer sind betroffen, unter anderem in der Ukraine und Russland“, erklärt ESET Security-Experte Thomas Uhlemann.
Die Malware besitzt eine modulare Architektur. Zu den Bestandteilen gehören zwei funktionsreiche Backdoors, die so viele Informationen wie möglich sammeln. Sie unterstützen Befehle wie Dateisystemoperationen, Dateiausführung, Manipulation von Registrierungsschlüsseln oder Remote-Shell-Aktivierung. InvisiMole untersucht den infizierten Computer und liefert Fakten über Systeme und Netzwerke – von der Auflistung aktiver Prozesse, Dienste und Treiber bis hin zur IP-Forward-Tabelle und der Geschwindigkeit der Internetverbindung. Sie nimmt auch Screenshots auf und listet alle Dateien auf festen und temporären Laufwerken in einer verschlüsselten Datei.
InvisiMole kann drahtlose Netzwerke scannen, die auf dem System aktiviert sind. Die Malware zeichnet Informationen wie SSID und MAC-Adresse der sichtbaren Wi-Fi-Zugangspunkte auf. Diese Daten lassen sich mit öffentlichen Datenbanken vergleichen, so dass die Angreifer wissen, wo sich das Opfer gerade aufhält.
Warum war sie so schwer zu finden?
Bislang ist noch nicht bekannt, wann die Malware kompiliert wurde. Bei der Bearbeitung der aktuellen Wrapper-DLLs setzten die Cyberkriminellen die PE-Zeitstempel auf null. Die Wrapper-DLL wurde mit dem Free Pascal Compiler entwickelt. In einer früheren Version der Malware entdeckten die ESET-Forscher die Angabe „13. Oktober 2013“. Die DLL wird in den Windows-Ordner gelegt und gibt sich als legitime mpr.dll-Bibliotheksdatei mit einer gefälschten Versionsinfo-Ressource aus. Vor Entdeckung schützt sich die Malware zusätzlich durch die Verschlüsselung von Strings, internen Dateien, Konfigurationsdaten und der Netzwerkkommunikation. Bisher konnte auch noch nicht geklärt werden, wie die Malware auf die infizierten Rechner gelangt. Hier sind alle Möglichkeiten offen, sogar ein physikalischer Zugang zum Gerät.
Weitere Informationen zu InvisiMole gibt es im Blogbeitrag „InvisiMole: überraschend ausgestattete Spyware seit 2013 unentdeckt“: https://www.welivesecurity.com/deutsch/2018/06/07/invisimole-ueberraschend-ausgestattete-spyware-seit-2013-unentdeckt
(Ende)
Aussender: Fink&Fuchs AG Ansprechpartner: Johanna Fritz Tel.: +49 611 74131 949 E-Mail: johanna.fritz@finkfuchs.de Website: www.eset.com