Меню
Поиск

ESET обнаружила в Украине сверхсложное шпионское программное обеспечение

11 июнь, 2018 - 09:34

Компания ESET сообщает об обнаружении шпионского программного обеспечения InvisiMole, которое способно следить за деятельностью жертв и похищать их конфиденциальную информацию.

По данным телеметрии ESET, угроза была активной минимум с 2013 г., однако инструмент для осуществления кибершпионажа оставался незамеченным до момента обнаружения системами ESET на инфицированных компьютерах в Украине и России.

Поскольку угроза является целенаправленной, вредоносное программное обеспечение имеет низкий уровень инфицирования с несколькими десятками зараженных компьютеров.

Угроза InvisiMole имеет модульную архитектуру, начиная свое распространение с модифицированной DLL и двух встроенных модулей. Оба модуля — многофункциональные бэкдоры, которые вместе собирают как можно больше информации об инфицированной цели.

Первый, меньший модуль RC2FM, содержит бэкдор, предназначенный для внесения различных изменений в систему и выполнения нескольких шпионских команд. В частности, модуль способен дистанционно активировать микрофон на инфицированном компьютере и записывать звук по запросу злоумышленников. Также вредоносная программа может делать снимки экрана и отслеживать все фиксированные и переменные диски в локальной системе.

Второй модуль RC2CL также бэкдор с широкими возможностями шпионажа. В частности, вредоносная программа может проверять инфицированный компьютер и предоставлять различные данные — от системной информации, такой как список активных процессов, запущенных служб, загруженных драйверов или доступных дисков, до информации о сети.

Вредоносная программа также может дистанционно активировать веб-камеру и микрофон жертвы и шпионить за жертвой путем съемки и звукозаписи. Деятельность экрана контролируется с помощью снимков экрана не только всего дисплея, но и каждого окна по отдельности.

Кроме этого, вредоносное программное обеспечение InvisiMole способно сканировать доступные беспроводные сети в инфицированной системе, записывая такую информацию, как идентификатор службы и MAC-адрес видимых точек доступа Wi-Fi. Затем эти данные могут быть объединены с публичными базами данных, позволяя преступникам отслеживать географическое положение жертвы.

Другие команды могут предоставлять информацию о пользователях инфицированного компьютера, информацию об их учетных записях и предыдущие сеансы.

Итак, угроза InvisiMole представляет собой хорошо оснащенное шпионское программное обеспечение, возможности которого могут конкурировать с другими шпионскими инструментами в реальной среде. Вредоносная программа использует только несколько методов, чтобы избежать обнаружения и анализа, однако, благодаря развертыванию на очень малое количество высоко профильных целей, она оставалась не выявленной не менее пяти лет.