Een voorheen onbekende stukje van complexe malware met spionage mogelijkheden werd onlangs ontdekt door onderzoekers van cybersecurity firma ESET. De spyware wordt nagesynchroniseerd InvisiMole en wordt beschouwd als een geavanceerde cyber spionage instrument het meest waarschijnlijk ontworpen voor aanvallen op natiestaat en financiële doelstellingen.
Technisch overzicht van InvisiMole Spyware
De twee kwaadaardige componenten van InvisiMole werden grondig geanalyseerd door onderzoeker Zuzana Hromcová. .Blijkbaar, de componenten zijn in staat om de gecompromitteerde gastheer te zetten in een videocamera, waardoor aanvallers van beeld en geluid van de omgeving van het slachtoffer vast te leggen. ongevraagd, operators InvisiMole's toegang tot het systeem, nauwlettend toezicht op de activiteiten van het slachtoffer en het stelen van de geheimen van het slachtoffer, de onderzoeker zei in het proces-verbaal.
Volgens de bevindingen van de onderzoeker, de spyware is actief geweest op zijn minst sinds 2013. Echter, vanwege de prachtige natuur, het werd nooit ontdekt op gecompromitteerde computers met ESET-producten in Oekraïne en Rusland. De extreem lage detectiepercentage betekent hoogstwaarschijnlijk InvisiMole is doelgerichte, hebben besmet een handvol computers.
De InvisiMole spyware heeft een modulaire architectuur. De infectie keten wordt geactiveerd met een wrapper DLL. Zoals voor zijn kwaadaardige activiteiten - ze worden uitgevoerd met de hulp van twee modules ingebed in zijn bronnen worden uitgevoerd. Beide modules zijn veelzijdige achterdeuren, en hun onderlinge inzet geeft aanvallers toegang tot zo veel mogelijk informatie als ze willen om te verzamelen. Daarbovenop, de programmeurs van de malware hebben extra maatregelen om het uit te voeren laag is en onopgemerkt genomen, en waardoor het stiekem aanwezig zijn op een systeem voor onbepaalde tijd.
Helaas, onderzoekers moeten nog ontdekken hoe de malware haar doelstellingen besmet. Alle infectie vectoren zijn mogelijk, inclusief installatie vergemakkelijkt door fysieke toegang tot de machine, ESET notes.
Meer over InvisiMole's Components
RC2FM
De eerste, kleinere module RC2FM bevat een achterdeur met vijftien ondersteunde opdrachten. Deze worden uitgevoerd op de getroffen computer wanneer u daarom door de aanvallers. De module is ontworpen om de verschillende wijzigingen in het systeem te maken, maar het biedt ook een heleboel spionage opdrachten.
Blijkbaar, Deze module is niet zo ingewikkeld als de tweede, maar toch heeft het nog een aantal indrukwekkende functies. Een van hen is de mogelijkheid om proxy-instellingen van browsers te extraheren. Dan kan het deze configuraties gebruiken om gegevens om haar command and control-server te sturen, vooral als het lokale netwerk instellingen verbieden de module om te communiceren met de master server. Bovendien, Deze module kan draaien op de microfoon van de doelgroep en de audio opnemen evenals coderen van de audio als MP3 en stuur het naar InvisiMole's command and control-server.
RC2CL
Dit is inderdaad de sterkere van de twee malware componenten. RC2CL is ontworpen ter ondersteuning 84 achterdeur commando's. Het bevat ook bijna alle functionaliteiten typisch voor een geavanceerde spyware tool. Wat zijn die mogelijkheden?
– Running remote shell commando, manipulatie van registry keys, uitvoering van bestanden, het verkrijgen van een lijst van lokale apps, loading drogers, het verzamelen van informatie over het netwerk, uitschakelen User Account Control, het uitschakelen van de Windows-firewall, onder andere.
In aanvulling op deze mogelijkheden, de RC2CL module is ook geschikt voor het opnemen van audio via de microfoon en het nemen van screenshots met de webcam.
De component heeft echter een aantal onderscheidende functies, zoals de mogelijkheid om veilige-delete zijn eigen bestanden zodra het verzamelen van gegevens is voorbij. Natuurlijk, de self-verwijderen van bestanden is het belangrijk om de teller forensische gereedschappen uit het herkennen van schaduw bestanden op de harde schijf en het ontdekken van de aard van de informatie verzameld en verzonden door de spyware. Deze component kan zich ook veranderen in een proxy de mededelingen steun tussen de eerste module en de command and control server. Deze functie wordt beschouwd als uniek omdat het in geen enkele andere spyware stam aangetroffen.
Tenslotte, InvisiMole is een volledig uitgeruste stuk van geavanceerde spyware met een bereik van kwaadaardige mogelijkheden .
Milena Dimitrova
Een bevlogen schrijver en contentmanager die sinds de start van het project bij SensorsTechForum werkt. Een professional met 10+ jarenlange ervaring in het creëren van boeiende inhoud. Gericht op de privacy van gebruikers en malware ontwikkeling, ze gelooft sterk in een wereld waar cybersecurity speelt een centrale rol. Als het gezond verstand heeft geen zin, ze zullen er zijn om aantekeningen te maken. Deze toelichtingen kunnen later om te zetten in artikelen! Volg Milena @Milenyim
Volg mij: