Et hidtil ukendt stykke komplekse malware med spionage kapaciteter blev for nylig opdaget af forskere på cybersikkerhed firma ESET. Spyware er døbt InvisiMole og betragtes som en avanceret cyber spionage værktøj sandsynligvis beregnet til angreb på nationen-statslige og finansielle mål.
Teknisk Oversigt over InvisiMole Spyware
De to ondsindede komponenter i InvisiMole blev grundigt analyseret af forsker Zuzana Hromcová. .Tilsyneladende, komponenterne er i stand til at vende den kompromitteret vært i et videokamera, således at angribere til at fange lyd og billede af ofrets omgivelser. Uninvited, InvisiMole operatører adgang til systemet, tæt overvågning offerets aktiviteter og stjæle offerets hemmeligheder, forskeren sagde i den officielle rapport.
Ifølge forskerens resultater, spyware har været aktiv i det mindste siden 2013. Men, på grund af sin sofistikerede karakter, det blev aldrig opdaget på kompromitterede computere, der kører ESET-produkter i Ukraine og Rusland. Den ekstremt lave opdagelse sats betyder mest sandsynligt, at InvisiMole er stærkt målrettede, at have smittet en håndfuld computere.
Den InvisiMole spyware har en modulær arkitektur. Infektionen kæde udløses med en indpakning DLL. Som for sine ondsindede aktiviteter - de er udført med hjælp af to moduler indlejret i sine ressourcer. Begge moduler er feature-rige bagdøre, og deres indbyrdes implementering giver angribere adgang til så mange oplysninger som de ønsker at samle. Oven i købet, de kodere af malware har taget ekstra foranstaltninger for at gøre det køre lav og uopdaget, og gør det muligt at opholde sig listende på et system for ubegrænset tid.
Desværre, Forskerne er endnu at afdække, hvordan malware inficeret sine mål. Alle infektion vektorer er mulige, herunder installation lettes ved fysisk adgang til maskinen, ESET noter.
Mere om InvisiMole komponenter
RC2FM
Den første, mindre modul RC2FM indeholder en bagdør med femten understøttede kommandoer. Disse er udført på den berørte computer, når så instrueret af angriberne. Modulet er designet til at foretage forskellige ændringer i systemet, men det giver også en masse spionage kommandoer.
Tilsyneladende, dette modul er ikke så kompliceret som den anden, men ikke desto mindre er det stadig har nogle imponerende funktioner. En af dem er evnen til at udtrække proxyindstillinger fra browsere. Så det kan bruge disse konfigurationer til at sende data til sin kommando og kontrol-server, især hvis de lokale netværksindstillinger forbyde modulet til at kommunikere med sin herre-server. Desuden, dette modul kan tænde for målets mikrofonen og optage lyd samt indkode lyd som MP3 og sende det til InvisiMole befaling og kontrol-server.
RC2CL
Dette er faktisk den mere magtfulde af de to malware komponenter. RC2CL er designet til at understøtte 84 bagdør kommandoer. Det indeholder også næsten alle de funktioner der er typiske for en avanceret spyware værktøj. Hvad er de kapaciteter?
– Kører remote shell-kommandoer, manipulation af registreringsdatabasenøgler, udførelse af filer, at opnå en liste over lokale apps, lastning tørretumblere, indsamle oplysninger om netværket, invaliderende Brugerkontokontrol, at slukke for Windows firewall, blandt andre.
Ud over disse funktioner, den RC2CL modulet er også i stand til at optage lyd ved hjælp af mikrofon og tage skærmbilleder med webcam.
Komponenten har dog nogle særlige kendetegn såsom evnen til sikker-slette sine egne filer, når dataindsamlingen er overstået. Selvfølgelig, selv-sletning af filer er vigtig for counter forensics værktøjer i at genkende skygge filer på disken og opdage den type oplysninger, der indsamles og sendes af spyware. Denne komponent kan også gøre sig selv til en proxy til at støtte kommunikationen mellem det første modul og kommando og kontrol-server. Denne funktion anses enestående, da det ikke er blevet påvist i en hvilken som helst anden spyware belastning.
Afslutningsvis, InvisiMole er et fuldt udstyret stykke sofistikeret spyware med en række ondsindede funktioner .