Компанія ESET — лідер у галузі інформаційної безпеки — повідомляє про виявлення шпигунського програмного забезпечення InvisiMole, яке здатне стежити за діяльністю жертв та викрадати їх конфіденційну інформацію.
За даними телеметрії ESET, загроза була активною щонайменше з 2013 року, однак інструмент для кібершпигунства залишався непоміченим до моменту виявлення системами ESET на інфікованих комп'ютерах в Україні та Росії.
Оскільки загроза є цілеспрямованою, шкідливе програмне забезпечення має низький рівень інфікування з кількома десятками заражених комп'ютерів.
Загроза InvisiMole має модульну архітектуру, починаючи своє поширення з модифікованої DLL та двох вбудованих модулів. Обидва модулі – багатофункціональні бекдори, які разом збирають якомога більше інформації про інфіковану ціль.
Перший, менший модуль RC2FM, містить бекдор, призначений для внесення різних змін у систему та виконання кількох шпигунських команд. Зокрема модуль здатний дистанційно активувати мікрофон на інфікованому комп'ютері та записувати звук за запитом зловмисників. Також шкідливе програма може робити знімки екрану та відстежувати всі фіксовані та змінні диски в локальній системі.
Другий модуль RC2CL також є бекдором із широкими можливостями шпигування. Зокрема шкідлива програма може перевіряти інфікований комп'ютер та надавати різні дані – від системної інформації, такої як список активних процесів, запущених служб, завантажених драйверів або доступних дисків, до інформації про мережу.
Шкідлива програма також може дистанційно активувати веб-камеру та мікрофон жертви та шпигувати за жертвою шляхом зйомки та звукозапису. Діяльність екрана контролюється за допомогою знімків екрана не тільки всього дисплею, але й кожного вікна окремо.
Крім цього, шкідливе програмне забезпечення InvisiMole здатне сканувати доступні бездротові мережі в інфікованій системі, записуючи таку інформацію, як ідентифікатор служби та MAC-адресу видимих точок доступу Wi-Fi. Потім ці дані можуть бути об'єднані з публічними базами даних, дозволяючи злочинцям відслідковувати географічне розташування жертви.
Інші команди можуть надавати інформацію про користувачів інфікованого комп'ютера, інформацію про їхні облікові записи та попередні сеанси.
Отже, InvisiMole є добре оснащеним шпигунським програмним забезпеченням, можливості якого можуть конкурувати з іншими шпигунськими інструментами в реальному середовищі. Шкідлива програма використовує лише кілька методів для уникнення виявлення та аналізу, проте, завдяки розгортанню на дуже малу кількість високо профільних цілей, вона залишалася невиявленою щонайменше п'ять років.
Детальний аналіз загрози доступний для ознайомлення за посиланням.