Ao analisar uma nova campanha do grupo InvisiMole, pesquisadores da ESET, empresa líder em detecção proativa de ameaças, descobriram um conjunto atualizado de ferramentas do grupo e detalhes até então desconhecidos sobre seu modus operandi. Essa nova campanha era dirigida a organizações de alto nível no setor militar e em missões diplomáticas, ambas no Leste Europeu. Segundo a telemetria da ESET, as tentativas de ataque aconteceram desde o final de 2019 até, pelo menos, junho deste ano, quando os pesquisadores publicaram suas descobertas.

O InvisiMole, um agente de ameaças que opera desde, pelo menos, 2013, foi documentado pela primeira vez pela ESET vinculado a operações específicas de ciberespionagem na Ucrânia e na Rússia, utilizando dois backdoors com muitas funções para espionar as vítimas. “Na época, encontramos esses backdoors surpreendentemente bem equipados, mas uma grande parte da imagem ainda estava faltando: não sabíamos como eles eram entregues, difundidos e instalados no sistema”, explica Zuzana Hromcová, pesquisadora da ESET que analisou o InvisiMole.

Graças à investigação dos ataques, em cooperação com as organizações afetadas, os pesquisadores da ESET tiveram a oportunidade de analisar adequadamente as operações do InvisiMole. “Pudemos documentar o amplo conjunto de ferramentas utilizadas para a entrega, o movimento lateral e a execução de backdoors do InvisiMole”, diz Anton Cherepanov, investigador de malware da ESET que conduziu a pesquisa.

Uma das principais conclusões da investigação se refere à cooperação do grupo InvisiMole com outro grupo de ameaças, Gamaredon. Os pesquisadores descobriram que o arsenal do InvisiMole só é liberado depois que o Gamaredon se infiltra na rede de interesse e obtém privilégios administrativos.

“Nossa pesquisa sugere que os objetivos considerados particularmente significativos pelos invasores se atualizam de um malware relativamente simples do Gamaredon para um malware avançado do InvisiMole. Isso permite que o grupo InvisiMole conte com formas criativas de operar debaixo do radar”, comenta Hromcová.


O downloader.NET do Gamaredon pode “atualizar” o computador da vítima com o downloader TCP do InvisiMole


Sobre permanecer fora do radar, os pesquisadores da ESET descobriram que o InvisiMole utiliza quatro cadeias de execução diferentes, projetadas combinando código malicioso com ferramentas legítimas e executáveis vulneráveis. Para ocultar o malware dos pesquisadores em segurança, os componentes do InvisiMole estão protegidos com criptografia da vítima, assegurando que a carga útil só possa ser decifrada e executada no computador afetado. O conjunto de ferramentas atualizado do InvisiMole também apresenta um novo componente que utiliza o túnel DNS para uma comunicação C&C mais sigilosa.

Ao analisar o conjunto de ferramentas atualizado do grupo, os investigadores observaram melhorias substanciais em comparação com as versões analisadas anteriormente. “Com esse novo conhecimento, poderemos rastrear atividades maliciosas do grupo ainda mais de perto”, conclui Hromcová.

Para conhecer a análise técnica do novo conjunto de ferramentas InvisiMole, acesse o documento completo (em inglês): “InvisiMole: a parte oculta da história”.

Para te ajudar a ficar em casa

A ESET aderiu à campanha #FiqueEmCasa, oferecendo proteção para dispositivos e conteúdos que ajudam os usuários a aproveitar os dias em casa e garantir a segurança dos pequenos enquanto se divertem online em meio à pandemia.

No site, os usuários podem ter acesso a: ESET INTERNET SECURITY grátis por 3 meses para proteger todos os dispositivos domésticos, Guia de Teletrabalho, com práticas para trabalhar em casa sem riscos, Academia ESET, para acessar cursos online que auxiliam a tirar mais proveito da tecnologia e o DigiPais, para ler conselhos sobre como acompanhar e proteger crianças na web.

Para saber mais sobre segurança da informação, entre no portal de notícias da ESET: https://www.welivesecurity.com/br/