ESET warnt vor InvisiMole: Spyware verwandelt PCs in komplexe Überwachungssysteme

Nächste PM

Jena, 8. Juni 2018 – Selbst die erfahrenen Security-Forscher von ESET erleben immer mal wieder eine Überraschung. Sie haben eine neuartige Spyware mit ungewöhnlichen Funktionen entdeckt. Der InvisiMole genannte Schädling verwandelt infizierte Computer in ein komplexes Überwachungssystem. So ist die Spyware in der Lage, Bewegungsdaten der Nutzer via WiFi-Tracking zu ermitteln und zugleich den Rechner in eine Video- und Audio-Wanze zu verwandeln. Dadurch sehen und hören Angreifer, was rund um den Nutzer gerade geschieht und können alles unbemerkt mitschneiden. Zudem registriert InvisiMole Veränderungen an Datenträgern, Dateien und Dokumenten, um ausschließlich die aktuellen Daten zu stehlen.

„Die Cyberkriminellen hinter dem Spionageprogramm haben es primär auf High-Potential-Ziele abgesehen, wie beispielsweise Forschungseinrichtungen oder Großunternehmen. Zudem vermeiden sie eine groß angelegte Verbreitung, weshalb die komplexe Spyware gut fünf Jahre unentdeckt blieb. Nur wenige Dutzend Computer sind betroffen, unter anderem in der Ukraine und Russland“, erklärt ESET Security-Experte Thomas Uhlemann.

Die Malware besitzt eine modulare Architektur. Zu den Bestandteilen gehören zwei funktionsreiche Backdoors, die so viele Informationen wie möglich sammeln. Sie unterstützen Befehle wie Dateisystemoperationen, Dateiausführung, Manipulation von Registrierungsschlüsseln oder Remote-Shell-Aktivierung. InvisiMole untersucht den infizierten Computer und liefert Fakten über Systeme und Netzwerke – von der Auflistung aktiver Prozesse, Dienste und Treiber bis hin zur IP-Forward-Tabelle und der Geschwindigkeit der Internetverbindung. Sie nimmt auch Screenshots auf und listet alle Dateien auf festen und temporären Laufwerken in einer verschlüsselten Datei.

InvisiMole kann drahtlose Netzwerke scannen, die auf dem System aktiviert sind. Die Malware zeichnet Informationen wie SSID und MAC-Adresse der sichtbaren Wi-Fi-Zugangspunkte auf. Diese Daten lassen sich mit öffentlichen Datenbanken vergleichen, so dass die Angreifer wissen, wo sich das Opfer gerade aufhält.

Warum war sie so schwer zu finden?

Bislang ist noch nicht bekannt, wann die Malware kompiliert wurde. Bei der Bearbeitung der aktuellen Wrapper-DLLs setzten die Cyberkriminellen die PE-Zeitstempel auf null. Die Wrapper-DLL wurde mit dem Free Pascal Compiler entwickelt. In einer früheren Version der Malware entdeckten die ESET-Forscher die Angabe „13. Oktober 2013“. Die DLL wird in den Windows-Ordner gelegt und gibt sich als legitime mpr.dll-Bibliotheksdatei mit einer gefälschten Versionsinfo-Ressource aus. Vor Entdeckung schützt sich die Malware zusätzlich durch die Verschlüsselung von Strings, internen Dateien, Konfigurationsdaten und der Netzwerkkommunikation. Bisher konnte auch noch nicht geklärt werden, wie die Malware auf die infizierten Rechner gelangt. Hier sind alle Möglichkeiten offen, sogar ein physikalischer Zugang zum Gerät.

Weitere Informationen zu InvisiMole gibt es im Blogbeitrag „InvisiMole: überraschend ausgestattete Spyware seit 2013 unentdeckt“.

 

Pressekontakt

Christian Lueg
Head of Communication & PR DACH

christian.lueg@eset.com

Michael Klatte
PR-Manager

michael.klatte@eset.com

Philipp Plum
PR-Manager

philipp.plum@eset.com

Über ESET

ESET ist ein europäisches Unternehmen mit Hauptsitz in Bratislava (Slowakei). Seit 1987 entwickelt ESET preisgekrönte Sicherheits-Software, die bereits über 100 Millionen Benutzern hilft, sichere Technologien zu genießen. Das breite Portfolio an Sicherheitsprodukten deckt alle gängigen Plattformen ab und bietet Unternehmen und Verbrauchern weltweit die perfekte Balance zwischen Leistung und proaktivem Schutz. Das Unternehmen verfügt über ein globales Vertriebsnetz in über 180 Ländern und Niederlassungen in Jena, San Diego, Singapur und Buenos Aires. Für weitere Informationen besuchen Sie www.eset.de oder folgen uns auf LinkedIn, Facebook und Twitter.