Ein bisher unbekanntes Stück komplexer Malware mit Spionage-Funktionen wurde vor kurzem von Forschern an dem Cyber-Firma ESET entdeckt. Die Spyware wird InvisiMole genannt und wird als erweiterte Cyber-Spionage-Tool höchstwahrscheinlich für Angriffe auf nationalstaatlicher und finanziellen Ziele entworfen angesehen.
Technische Übersicht von InvisiMole Spyware
Die beiden bösartige Komponenten von InvisiMole wurden gründlich durch Forscher Zuzana Hromcová analysiert. .Offenbar, die Komponenten sind in der Lage den kompromittierten Rechner in eine Videokamera drehen, somit Angreifer ermöglicht, zu erfassen, Klang und Bild der Umgebung des Opfers. Ohne Einladung, InvisiMole der Betreiber Zugriff auf das System, genaue Überwachung der Tätigkeit des Opfers und stehlen die Geheimnisse des Opfers, Der Forscher sagte im offiziellen Bericht.
Nach den Feststellungen des Forschers, die Spyware hat zumindest aktiv seit 2013. Jedoch, aufgrund seiner anspruchsvollen Natur, es wurde nie auf kompromittierten Computern mit ESET-Produkten in der Ukraine und in Russland entdeckt. Die extrem niedrige Erkennungsrate bedeutet wahrscheinlich, dass InvisiMole ist sehr gezielte, eine Handvoll Computer infiziert haben.
Die InvisiMole Spyware hat eine modulare Architektur. Die Infektionskette ist mit einem Wrapper-DLL ausgelöst. Wie für seine bösartigen Aktivitäten - sie werden mit Hilfe von zwei Modulen in seinen Ressourcen eingebettet durchgeführt. Beide Module sind funktionsreiche Backdoors, und ihre gegenseitige Bereitstellung gibt Angreifer Zugriff auf so viele Informationen, wie sie wollen sammeln. Hinzu kommt, dass, die Programmierer der Malware haben zusätzliche Maßnahmen ergriffen, um es niedrig und unentdeckt zu machen laufen, und ermöglicht es verstohlen auf einem System für unbegrenzte Zeit aufhalten.
Leider, Forscher sind noch zu entdecken, wie die Malware ihre Ziele infiziert. Alle Infektionsvektoren sind möglich, einschließlich der Installation von physischen Zugriff auf die Maschine erleichtert, ESET Notizen.
Mehr über InvisiMole der Komponenten
RC2FM
Der Erste, kleineres Modul RC2FM enthält eine Hintertür mit fünfzehn unterstützten Befehle. Diese werden auf dem betroffenen Computer ausgeführt wird, wenn so von den Angreifern angewiesen. Das Modul wurde entwickelt, um verschiedene Änderungen am System vornehmen, aber es bietet auch eine Reihe von Spionage-Befehle.
Offenbar, Dieses Modul ist nicht als die zweite kompliziert, aber dennoch hat es noch einige beeindruckende Features. Einer von ihnen ist die Fähigkeit, die Proxy-Einstellungen von Browser zu extrahieren. Dann kann es diese Konfigurationen verwenden, um Daten zu seinen Kommando- und Kontrollserver senden, insbesondere, wenn die lokalen Netzwerkeinstellungen das Modul verbieten mit seinem Master-Server zu kommunizieren,. Außerdem, Dieses Modul kann auf das Ziel der Mikrofon und Audio-Aufnahme schalten Sie den Ton als MP3 und senden es an InvisiMole der Kommando- und Kontrollserver sowie kodieren.
RC2CL
Dies ist in der Tat die stärkere der beiden Malware-Komponenten. RC2CL wurde entwickelt, um Unterstützung 84 Backdoor-Befehle. Es enthält auch fast alle Funktionalitäten typisch für eine erweiterte Spyware-Tool. Was sind die Fähigkeiten?
– Ausführen von Remote-Shell-Befehle, Manipulation der Registry-Schlüssel, Ausführen von Dateien, eine Liste der lokalen Anwendungen zu erhalten, Laden Trockner, Sammeln von Informationen über das Netzwerk, Deaktivieren der Benutzerkontensteuerung, Drehen Sie den Windows-Firewall aus, unter anderem.
Zusätzlich zu diesen Funktionen, das RC2CL Modul ist auch in der Lage mit dem Audio-Mikrofon zum Aufzeichnen und Screenshots mit dem Webcam Einnahme.
Die Komponente hat jedoch einige Besonderheiten wie zum Beispiel die Fähigkeit, seine eigenen Dateien zu sicheren löschen, sobald die Datenerfassung beendet ist. Natürlich, die Selbst Löschen von Dateien ist wichtig, um Zähler Forensik-Tools von auf der Festplatte Schattendateien zu erkennen und durch die Spyware die Art der Informationen gesammelt und gesendet zu entdecken. Diese Komponente kann auch selbst in einen Proxy schalt die Kommunikation zwischen dem ersten Modul und den Befehls- und Steuerserver zu unterstützen. Diese Funktion gilt als einzigartig, da es in irgendeiner anderen Spyware-Stamm nicht erkannt wurde.
Abschließend, InvisiMole ist ein voll ausgestattetes Stück hoch entwickelte Spyware mit einer Reihe von bösartigen Fähigkeiten .
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: