ESET виявила надскладне шпигунське програмне забезпечення
ESET виявила надскладне шпигунське програмне забезпечення
ESET повідомляє про виявлення шпигунського програмного забезпечення InvisiMole, яке здатне стежити за діяльністю жертв та викрадати їхню конфіденційну інформацію.
За даними телеметрії ESET, загроза була активною мінімум з 2013 року, проте інструмент для здійснення кібершпигунства залишався непоміченим до моменту виявлення системами ESET на інфікованих комп'ютерах.
Оскільки загроза є цілеспрямованою, шкідливе програмне забезпечення має низький рівень інфікування з кількома десятками заражених комп'ютерів.
Загроза InvisiMole має модульну архітектуру, починаючи своє поширення з модифікованої DLL та двох вбудованих модулів. Обидва модулі — багатофункціональні бекдори, які разом збирають якнайбільше інформації про інфіковану цілі.
Перший, менший модуль RC2FM, містить бекдор, призначений для внесення різних змін до системи та виконання кількох шпигунських команд. Зокрема, модуль здатний дистанційно активувати мікрофон на інфікованому комп'ютері та записувати звук на запит зловмисників. Також шкідлива програма може робити знімки екрана та відстежувати всі фіксовані та змінні диски у локальній системі.
Другий модуль RC2CL також є бекдор з широкими можливостями шпигунства. Зокрема, шкідлива програма може перевіряти інфікований комп'ютер та надавати різні дані — від системної інформації, такої як список активних процесів, запущених служб, завантажених драйверів або доступних дисків до інформації про мережу.
Шкідлива програма також може дистанційно активувати веб-камеру та мікрофон жертви та шпигувати за жертвою шляхом зйомки та звукозапису. Діяльність екрана контролюється за допомогою знімків екрана не лише всього дисплея, але й кожного вікна окремо.
Крім цього, шкідливе програмне забезпечення InvisiMole здатне сканувати доступні бездротові мережі в інфікованій системі, записуючи таку інформацію, як ідентифікатор служби та MAC-адреса видимих точок доступу Wi-Fi. Потім ці дані можуть бути поєднані з публічними базами даних, дозволяючи злочинцям відстежувати географічне положення жертви.
Інші команди можуть надавати інформацію про користувачів інфікованого комп'ютера, інформацію про їх облікові записи та попередні сеанси.
Загроза InvisiMole є добре оснащеним шпигунським програмним забезпеченням, можливості якого можуть конкурувати з іншими шпигунськими інструментами в реальному середовищі. Шкідлива програма використовує тільки кілька методів, щоб уникнути виявлення та аналізу, проте, завдяки розгортанню на дуже малу кількість високо профільних цілей, вона залишалася не виявленою не менше п'яти років.
