Un pezzo sconosciuto malware complesso con funzionalità di spionaggio è stato recentemente scoperto dai ricercatori della società di sicurezza informatica di ESET. Lo spyware è doppiato InvisiMole ed è considerato come uno strumento avanzato spionaggio informatico molto probabilmente progettato per attacchi contro obiettivi dello stato-nazione e finanziari.
Panoramica tecnica di InvisiMole Spyware
I due componenti dannosi di InvisiMole sono stati accuratamente analizzati dal ricercatore Zuzana Hromcová. .Apparentemente, i componenti sono in grado di trasformare l'host compromessi in una videocamera, permettendo così agli aggressori di catturare il suono e l'immagine di un ambiente della vittima. Non invitato, gli operatori di InvisiMole accesso al sistema, monitorare attentamente le attività della vittima e rubare segreti della vittima, il ricercatore disse nel rapporto ufficiale.
Secondo i risultati del ricercatore, lo spyware è stato attivo almeno dal 2013. Tuttavia, a causa della sua natura sofisticata, non è mai stato rilevato sul computer compromessi che eseguono i prodotti ESET in Ucraina e Russia. Il tasso di rilevamento estremamente bassa probabile che l'InvisiMole è altamente mirati, dopo aver infettato una manciata di computer.
Lo spyware InvisiMole ha un'architettura modulare. La catena di infezione viene attivato con un wrapper DLL. Per quanto riguarda le sue attività dannose - si sono svolte con l'ausilio di due moduli integrati nelle sue risorse. Entrambi i moduli sono backdoors ricche di funzionalità, e la loro distribuzione reciproca dà aggressori l'accesso a quante più informazioni come vogliono per raccogliere. Per di più, i programmatori del malware hanno adottato misure in più per farlo funzionare a basso e non rilevati, e che le consenta di risiedere di nascosto su un sistema per un periodo di tempo illimitato.
Sfortunatamente, i ricercatori devono ancora scoprire come il malware infetta i suoi obiettivi. Tutti i vettori di infezione sono possibili, compresa l'installazione facilitata dalla accesso fisico alla macchina, note ESET.
Ulteriori informazioni sui componenti di InvisiMole
RC2FM
Il primo, più piccolo modulo RC2FM contiene una backdoor con quindici comandi supportati. Questi vengono eseguiti sul computer interessato se indicato dai aggressori. Il modulo è progettato per fare varie modifiche al sistema ma offre anche una serie di comandi spionaggio.
Apparentemente, Questo modulo non è così complicato come il secondo, ma comunque ha ancora alcune caratteristiche impressionanti. Uno di loro è la possibilità di estrarre le impostazioni proxy dal browser. Quindi è possibile utilizzare queste configurazioni per inviare i dati al suo server di comando e controllo, soprattutto se le impostazioni di rete locali vietano il modulo per comunicare con il server master. In aggiunta, questo modulo può accendere il microfono del bersaglio e registrare audio e codificare l'audio come MP3 e inviarlo al server di comando e controllo di InvisiMole.
RC2CL
Questo è infatti il più potente dei due componenti del malware. RC2CL è progettato per supportare 84 comandi backdoor. Esso contiene anche quasi tutte le funzionalità tipiche di uno strumento di spyware avanzata. Quali sono tali capacità?
– Esecuzione di comandi shell remote, manipolazione di chiavi di registro, esecuzione di file, ottenendo un elenco di applicazioni locali, essiccatoi di carico, la raccolta di informazioni sulla rete, disabilitazione Controllo account utente, disattivando il firewall di Windows, tra gli altri.
Oltre a queste funzionalità, il modulo RC2CL è anche in grado di registrare audio utilizzando il microfono e prendendo schermate con la webcam.
Il componente ha tuttavia alcune caratteristiche distintive, come la capacità di sicuro cancellare i propri file una volta che la raccolta dei dati è finita. Naturalmente, l'auto-cancellazione dei file è importante banco forensi strumenti di riconoscere file shadow su disco e scoprire il tipo di informazioni raccolte e inviata dal spyware. Questo componente può anche trasformarsi in un proxy per aiutare le comunicazioni tra il primo modulo e il server di comando e controllo. Questa caratteristica è considerato unico in quanto non è stato rilevato in qualsiasi altro ceppo spyware.
Insomma, InvisiMole è un pezzo completamente attrezzata di sofisticati spyware con una gamma di funzionalità malevoli .