invisiMole : la taupe invisible.

invisiMole : la taupe invisible.

17 juin 2018 Non Par Adrien Boilley

Un virus nommé InvisiMole (mole = taupe) vient d’être détecté par la société ESET.

Il s’agit d’un virus ciblant des terminaux sous Windows. Il ouvre une backdoor (porte dérobée) et permet le contrôle à distance à l’aide d’une connexion cryptée, offrant à l’attaquant un accès illimité ou presque à la machine ciblée. Ou presque, car le virus ne semble pas s’attaquer au système lui même (privilèges, noyau, etc.) et se concentre sur l’espionnage et sert visiblement à collecter des informations.

La société n’a pas pu fournir une date de compilation, puisque le timestamp indiquait 0 (ce qui correspond au 1er janvier 1970 à 0:0:0). Mais d’après leurs recherches, une version plus jeune du malware indiquait une date : le 13 Octobre 2013.
En revanche : le mode de transmission n’a pas été découvert.

On sait cependant qu’il n’aurait ciblé que quelques machines en Russie et en Ukraine. Il aura sûrement été crée dans le cadre d’une mission d’espionnage politique ou industrielle. Il est donc peu probable que votre PC soit infecté.

Infection

mpr.dll

Les fichiers .dll pour dynamic link librairies sont des librairies : c’est à dire : des fonctions préprogrammées et utilisées par les programmes du système d’exploitation ou des programmes utilisateurs. Et pour être exact : il s’agit d’un wrapper : c’est à dire, d’un programme d’amorçage. Le virus  serait contenu dans un fichier mpr.dll : mais il est possible qu’il puisse aussi contaminer un autre fichier dll, dans la mesure ou ce dernier doit être un wrapper.

dll file from eset

En-tête fichier dll. Source ESET.

explorer.exe et svchost.exe

Le virus va ensuite commencer à infecter les services du système d’exploitation.

Le navigateur de fichier, windows explorer, est en première ligne et sera infecté avec une librairie pirate dans le dossier system32/. Donnant au virus un accès au système de fichier.

Puis il va s’en prendre à svchost : à traduire par “service hôte”. Il s’agit d’un processus windows servant à gérer des sous-processus : et en particulier, les fichiers dll. Le virus va modifier le registre windows pour s’y ajouter lui même.

Le virus va alors charger et enregistrer ses deux principaux modules : RC2CL et RC2FM.

Communications

Cryptage

Pour parfaire l’ensemble : le virus charge un module de cryptage de RC2FM, qui lui permet de protéger ses propres fichiers et sa communication réseau.

Réseau

Puis il charge une première backdoor (porte dérobée) pour communiquer avec un serveur de contrôle : il peut détecter la configuration réseau et contourner certaines limitations proxy, en utilisant des users agents, Mozilla par exemple, pour ce faire passer pour un navigateur web. Il établit une connexion HTTP et utilise les protocoles GET et POST. La donnée envoyée étant préalablement cryptée.

HTTP header image / source ESET

En-tête HTTP. Source ESET.

Activités

RC2FM est capable de passer une quinzaine de commandes : y compris quelques options d’espionnage,  activer le microphone, encoder le flux audio en mp3 puis l’envoyer au serveur de contrôle.

RC2CL

Est un second module qui ouvre une backdoor assez similaire à RC2FM mais avec pas moins de 84 commandes disponibles : Il peut ainsi :

  • Accéder aux informations de base du système,
  • Accéder aux périphériques (et en particulier wabcam et micro),
  • Faire des capture d’écran et contrôler l’affichage,
  • Lire, écrire ou exécuter un fichier,
  • Lister des logiciels installés,
  • Aux informations sur les comptes utilisateurs enregistrés.
  • Lister, démarrer ou arrêter des processus,
  • Créer un shell de contrôle à distance (probablement secure shell),
  • Modifier des entrées de registre.

Conclusion

Il s’agit donc d’un virus plutôt bien conçu et visiblement destiné à l’espionnage. On peut supposer que RC2FM sert de module de test et de reconnaissance, puis RC2CL aurait ensuite servi comme outil principal. Mais en fait non : il s’agit plus probablement d’un outil qui aurait été amélioré en cours d’usage.

Le virus, très discret et mobilisant peu de ressources aurait ainsi pu passer sous les radars pendant 5 ans.

Sources :

Lexique :